Инженеры компании Microsoft обнаружили серьезную уязвимость в популярных приложениях для мобильной операционной системы Android. Эта уязвимость позволяет злоумышленникам удаленно запускать вредоносный код, красть личные данные пользователей и токены аутентификации.

Согласно отчету Microsoft, данная уязвимость затрагивает как минимум четыре приложения из магазина Google Play с миллионами загрузок. Среди них популярный файловый менеджер от китайской компании Xiaomi и офисный пакет WPS Office. Каждое из этих приложений было загружено более 500 миллионов раз.

Суть уязвимости заключается в том, что многие приложения для Android используют специальный механизм для безопасного обмена файлами с другими приложениями. Однако при получении файла от стороннего приложения они не проверяют его содержимое и используют указанное отправителем имя файла для сохранения во внутреннем хранилище. Это позволяет злоумышленникам создавать вредоносные приложения, которые отправляют файлы с опасными именами уже в целевые программы. Например, вредоносное приложение может отправить файл с именем настроек почтового клиента, браузера или мессенджера. Получив такой файл, целевое приложение сохранит его и начнет использовать для работы, что приведет к компрометации и утечке данных.

По мнению экспертов Microsoft, потенциальные последствия могут быть серьезными. Злоумышленники могут перенаправлять трафик приложения на свой сервер, получать доступ к токенам аутентификации пользователей, личным сообщениям и другой важной информации.

Microsoft сообщила Google об обнаруженной проблеме. Google выпустила руководство для разработчиков по выявлению и устранению уязвимости в приложениях Android. Кроме того, Microsoft напрямую связалась с поставщиками уязвимого программного обеспечения в магазине Google Play. Например, компании Xiaomi и WPS Office уже выпустили обновления, исправляющие уязвимость.

Тем не менее, в Microsoft считают, что аналогичным образом может быть уязвимо гораздо больше приложений для Android. Компания призывает всех разработчиков тщательно тестировать свои продукты. Для обычных пользователей рекомендуется регулярно обновлять приложения до последних версий и устанавливать только проверенные программы из официального магазина Google Play.