Microsoft Android Uygulamalarındaki Dirty Stream İçin Uyarıda Bulundu!
Microsoft, “Dity Stream” adlı yeni bir saldırı biçimine dikkat çekerek, kötü niyetli Android uygulamalarının başka bir uygulamanın ana dizinindeki dosyaların üzerine yazmasına izin verebileceğini ve bu durumun potansiyel olarak düzensiz kod yürütülmesine ve bilgi çalınmasına neden olabileceğini belirtti.
Bu kusur, Android’in farklı uygulamalar arasında paylaşılması amaçlanan yapılandırılmış veri kümelerine erişimi yöneten içerik sağlayıcı sisteminin uygunsuz kullanımından kaynaklanmaktadır.
Söz konusu sistem, yetkisiz erişimi, veri sızıntılarını ve yol geçiş saldırılarını önlemek için veri yalıtımı, URI izinleri ve yol doğrulama güvenlik önlemlerini içermektedir. (URI permissions,path validation security,path traversal attacks)
Ancak, Android uygulamalarındaki bileşenler arasında iletişimi kolaylaştıran özel niyetler olan mesajlaşma nesneleri yanlış uygulandığında, bu güvenlik önlemlerini atlamak mümkün olabilmektedir.
Örneğin, intent’lerde doğrulanmamış dosya adlarına ve yollara güvenilmesi, ‘FileProvider’ bileşeninin yanlış kullanımı ve yetersiz yol doğrulaması, yanlış uygulamalara örnek olarak verilebilir.
“Dirty Stream”, kötü niyetli uygulamaların özel bir amaç kullanarak başka bir uygulamaya manipüle edilmiş bir dosya adı veya yol içeren bir dosya göndermesine olanak tanır. Hedef uygulama dosya adına veya yola güvenerek yanlış yönlendirilir ve dosyayı kritik bir dizinde çalıştırır veya depolar.
Bu tür bir veri akışının manipüle edilmesi, işletim sistemi düzeyinde ortak bir işlevi silah haline getirir ve yetkisiz kod yürütme, veri hırsızlığı veya diğer kötü niyetli sonuçlara yol açabilir.
Microsoft araştırmacısı Dimitrios Valsamaras, bu hatalı uygulamaların maalesef yaygın olduğunu, dört milyardan fazla kez yüklenen uygulamaları etkilediğini ve büyük bir saldırı yüzeyi sunduğunu belirtti.
Microsoft’un raporunda, Xiaomi’nin Dosya Yöneticisi uygulaması ile WPS Office gibi, Dirty Stream saldırılarına karşı savunmasız olduğu vurgulanan iki uygulama bulunmaktadır. Her iki şirket de bulgulara karşı duyarlı davrandı ve güvenlik açığının yarattığı riskleri azaltmak için Microsoft ile işbirliği yaparak düzeltmeler dağıttı.
Microsoft’un bulguları, gelecekte benzer güvenlik açıklarını önlemek için Android geliştirici topluluğuyla bir makale aracılığıyla paylaşıldı. Google da uygulama güvenliği kılavuzunu güncelleyerek içerik sağlayıcı sisteminde güvenlik atlamalarına izin veren yaygın uygulama hatalarını vurguladı.
Son kullanıcılar için en önemli önlem, kullandıkları uygulamaları güncel tutmak ve resmi olmayan üçüncü taraf uygulama mağazalarından ve diğer güvenilir olmayan kaynaklardan APK indirmekten kaçınmaktır.