Trend Micro afferma di aver trovato “diversi” difetti di sicurezza nella popolare app Android ShareIt . ShareIt è stata scaricata oltre un miliardo di volte dal Play Store e, secondo App Annie, è stata una delle 10 app più scaricate a livello globale nel 2019.
L’app è stata originariamente sviluppata da Lenovo (da allora è diventata una propria società) e per un certo periodo è stato preinstallato sui telefoni Lenovo.
Il rapporto afferma che le vulnerabilità di ShareIt possono “essere abusate per far trapelare i dati sensibili di un utente ed eseguire codice arbitrario con le autorizzazioni di ShareIt”. Le autorizzazioni di ShareIt, come app di condivisione file locale, sono piuttosto ampie. In base alla lettura delle autorizzazioni del Play Store, ShareIt richiede l’accesso all’intera memoria dell’utente e a tutti i media, alla fotocamera, al microfono e alla posizione. Può eliminare app, eseguire all’avvio, creare account e impostare password e fare molto di più. Ha anche pieno accesso alla rete. Trend Micro afferma che la compromissione dell’app può portare all’esecuzione di codice in modalità remota. L’azienda di sicurezza afferma di aver condiviso queste vulnerabilità con ShareIt tre mesi fa, ma la società non ha ancora rilasciato patch.
L’incredibile successo di un miliardo di download su Android e 1,8 miliardi di utenti in tutto il mondo (ci sono anche app iOS, Windows e Mac) ha portato a quella che sembra un’incredibile quantità di app bloat. L’app era considerata una delle migliori per la condivisione di file locale, ma oggi l’elenco del Play Store mostra un’app che offre “Infiniti video online”, “Decine di milioni di brani di alta qualità”, “GIF, sfondi e adesivi” una sezione multimediale “popolare” che assomiglia a un social network, un negozio di giochi, una sezione di download di film al dettaglio, attività di check-in COVID-19 e statistiche sui casi e quella che sembra la sua forma di valuta. Il sito web di ShareIt (che, proprio come l’app, non utilizza HTTPS per impostazione predefinita) dice che il servizio è “ora una piattaforma di contenuti leader” e popolare nel sud-est asiatico, nell’Asia meridionale, nel Medio Oriente, in Africa e in Russia.
Quando l’archiviazione privata non è privata
Il rapporto di Trend Micro descrive una lunga lista di decisioni sbagliate prese durante la progettazione di ShareIt che potrebbero renderlo più suscettibile al codice dannoso. Un problema è una vulnerabilità comune delle app Android che si verifica quando gli sviluppatori impostano un fornitore di contenuti in modo errato. Android è orgoglioso della comunicazione intra-app, in parte perché qualsiasi app può creare un fornitore di contenuti e fornire i suoi contenuti e servizi ad altre app. Se Gmail desidera allegare un file a un’e-mail, può farlo mostrando un elenco di fornitori di contenuti di file disponibili installati sul telefono (è fondamentalmente una finestra di dialogo “apri con”) e l’utente può scegliere il proprio file manager preferito , naviga nel loro spazio di archiviazione e passa il file che desiderano a Gmail. Spetta agli sviluppatori disinfettare queste funzionalità cross-app ed esporre solo le funzionalità di file manager necessarie a Gmail e ad altre app.
ShareIt viene fornito con il proprio programma di installazione dell’app Android.
“L’aggressore può rubare dati sensibili”
Un altro problema in più è che il negozio di giochi di ShareIt può apparentemente scaricare i dati delle app su HTTP non protetto, dove può essere soggetto ad un attacco man-in-the-middle. ShareIt si registra come gestore di qualsiasi collegamento che termina i suoi domini, come “wshareit.com” o “gshare.cdn.shareitgames.com”, e verrà visualizzato automaticamente quando gli utenti fanno clic su un collegamento per il download. La maggior parte delle app forza tutto il traffico a HTTPS, ma ShareIt non lo fa. Chrome interromperà il traffico di download HTTP, quindi questo dovrebbe essere fatto tramite un’interfaccia Web diversa dal browser principale.
Trend Micro conclude dicendo: “Abbiamo segnalato queste vulnerabilità al fornitore, che non ha ancora risposto. Abbiamo deciso di divulgare la nostra ricerca tre mesi dopo averlo segnalato poiché molti utenti potrebbero essere interessati da questo attacco, perché l’autore dell’attacco può rubare dati sensibili e fare qualsiasi cosa con il permesso delle app. ” Gli utenti dovrebbero probabilmente disinstallare l’app al più presto. Se stai cercando un’alternativa di condivisione di file più sicura, il file manager di Google può eseguire la condivisione locale tramite Wi-Fi ora e dovrebbe essere scritto con migliori pratiche di sicurezza.