Баг в Xiaomi File Manager и WPS Office позволяет перезаписывать файлы

Исследователи из Microsoft Threat Intelligence обнаружили серьезную уязвимость в двух известных приложениях для Android: Xiaomi File Manager и WPS Office. Этот недостаток позволяет вредоносным приложениям переписывать файлы в директориях других приложений, что создает риски выполнения произвольного кода и утечки данных.

Димитриос Валсамарас, эксперт команды, разъяснил, что уязвимость возникает из-за ошибок в обработке входящих файлов, предоставляемых сторонними приложениями. Особенно тревожным является то, что злоумышленник может использовать передаваемый файл для его сохранения в кеше внутри директории, содержащей внутренние данные другого приложения. Это дает атакующему возможность манипулировать работой уязвимой программы.

Уязвимость затронула два приложения с впечатляющим количеством пользователей: Xiaomi File Manager насчитывает более миллиарда установок, а WPS Office — свыше 500 миллионов. Эти цифры свидетельствуют о широком распространении риска среди пользователей.

Эксперты подчеркивают, что хотя Android обеспечивает изоляцию данных и пространства в памяти для каждого приложения, неправильное выполнение механизмов безопасности может привести к обходу установленных ограничений.