Aplikace pro UWP mohou získat přístup ke všem souborům. Řešení obsahuje Windows 10 v1809

30. 10. 2018

Sdílet

 Autor: Redakce

Platforma pro aplikace, exkluzívně obsažená ve Windows 10, měla zaručit vyšší stupeň zabezpečení. Aplikace pro UWP (Universal Windows Platform) by měly mít omezený přístup k systému a vlastně kamkoli, což je z hlediska zabezpečení přínosné. Taková byla aspoň počáteční idea.

Jak ale upozornil BleepingComputer, UWP obsahovalo chybu v designu, takže aplikacím poskytovalo neomezený přístup k souborovému systému. Standardně by přitom programy pro UWP měly mít přístup pouze ke složkám AppData\Local, dále AppData\Roaming a pak ke složce pro odkládání dočasných souborů.

Pokud by chtěly sáhnout jinam, měly by vás vyzvat, abyste požadovaný soubor či složku ručně vybrali. Dále může být v manifestu pořádáno o trvalý přístup k dalším umístěním, takové oprávnění je pak viditelné v detailech ve Storu. Vývojář Sébastien Lachance ovšem náhodou zjistil, že až do Windows 10 verze 1809 schválení širokého přístupu k souborovému systému nebylo vynuceno.

Ve Windows 10 v1809 už v Nastavení uvidíte všechny aplikace, které by chtěly získat neomezený přístup k souborovému systému Ve Windows 10 v1809 už v Nastavení uvidíte všechny aplikace, které by chtěly získat neomezený přístup k souborovému systému

Řešením je upgrade na Windows 10 v1809

Aplikace se ani se nezobrazovala v Nastavení v sekci pro správu oprávnění. Ve verzi 1809 se tedy už nestane, že by aplikace sama od sebe získala neomezený přístup k souborovému systému, tam už musíte provést manuální schválení. Verze 1809 již měla být široce distribuována, kvůli dodatečně objeveným chybám však zatím čekáme na to, až distribuce opět začne.

ICTS24

Může pak trvat několik měsíců, než se rozšíří na většinu zařízení s Desítkami. Jak poukazuje BleepingComputer, Microsoft by samozřejmě měl kontrolovat aplikace přicházející do Storu, zda neprovádí záškodnickou činnost. Možná jste zaznamenali, že se v říjnu ve Storu objevila aplikace Album by Google Photos, kterou tam údajně vložil Google. Ve skutečnosti šlo o trojského koně.

Pokud se v katalogu objevila aplikace, která předstírala, že pochází od tak velké firmy jako Google, kontrolní mechanismy Microsoftu jsou zjevně nastavené špatně. Malware ovšem proniká i do jiných katalogů. Je vždycky třeba dávat si pozor na to, co instalujete – a podezřelým aplikacím se vyhnout.