Bug do Windows 10 permite que aplicativos UWP acessem todos os arquivos sem o consentimento dos usuários

A Microsoft corrigiu silenciosamente um bug em seu sistema operacional Windows 10 com a atualização de outubro de 2018 (versão 1809) que permitia que os aplicativos da Microsoft Store com extensiva permissão do sistema de arquivos acessassem todos os arquivos nos computadores dos usuários sem o consentimento deles.

Com o Windows 10, a Microsoft introduziu uma plataforma comum, chamada Universal Windows Platform (UWP), que permite que os aplicativos sejam executados em qualquer dispositivo que execute o Windows 10, incluindo desktops, Xbox, IoT, Surface Hub e headsets de realidade mista.

Aplicativos UWP têm a capacidade de acessar certos API, arquivos como imagens, música ou dispositivos como câmera e microfone, declarando as permissões necessárias no arquivo de manifesto do pacote (configuração).

Por padrão, os aplicativos UWP têm acesso aos diretórios, onde o aplicativo é instalado no sistema dos usuários e onde o aplicativo pode armazenar dados (pastas locais, em roaming e temporárias).

No entanto, para acessar outros arquivos em um sistema, incluindo recursos confidenciais, a Microsoft oferece vários tipos de recursos que um aplicativo pode usar, declarando sua permissão no arquivo de manifesto.

Um desses recursos abrangentes, chamado broadFileSystemAccess (Broad Filesystem Access), permite que um aplicativo acesse o sistema de arquivos no mesmo nível do usuário que iniciou o aplicativo.

No entanto, de acordo com a Microsoft, esse é um recurso restrito que, se usado, acionará um prompt de consentimento do usuário enquanto os usuários iniciam o aplicativo pela primeira vez, solicitando que concedam ou neguem essa permissão ao aplicativo.

"No primeiro uso, o sistema solicitará que o usuário permita o acesso. O acesso é configurável em Configurações> Privacidade> Sistema de arquivos. Se você enviar um aplicativo para a Loja que declara esse recurso, será necessário fornecer descrições adicionais sobre o motivo do seu aplicativo precisa dessa capacidade e de como pretende usá-la ", diz a documentação da Microsoft .

De acordo com o desenvolvedor de aplicativos do Windows, Sébastien Lachance , a versão do Windows 10 anterior à atualização de outubro de 2018 não exibia solicitações de permissão para acessar o sistema de arquivos devido a um bug, aparentemente deixando os usuários os dados confidenciais expostos aos aplicativos baixados da Windows Store.

Em outras palavras, até a versão 1809, os aplicativos poderiam ser usados ​​para acessar o sistema de arquivos inteiro sem solicitar permissão aos usuários.

Lachance aprendeu sobre o bug quando um de seus aplicativos que usa a permissão broadFileSystemAccess começou a travar após a instalação da Atualização do Windows 10 de outubro de 2018.

Mais tarde, um engenheiro da Microsoft explicou ao Lachance que, como a atualização mais recente do Windows 10 solucionou o problema, desativando a configuração 'broadFileSystemAccess' por padrão, todos os aplicativos UWP podem precisar ser atualizados para evitar falhas.

Para evitar falhas, Andrew sugeriu que os desenvolvedores de aplicativos do Windows incluíssem uma linha simples de código em seus softwares afetados que forçaria seus usuários a aceitar a nova permissão de acesso a arquivos nas configurações antes de iniciar o aplicativo.

Como a Microsoft interrompeu a implantação da Atualização do Windows 10 de outubro devido a um erro de limpeza de arquivos, os usuários que não têm a atualização podem restringir o acesso dos aplicativos UWP ao sistema de arquivos em seu computador Windows 10 por meio de Configurações → Privacidade → Sistema de arquivos. .


FONTE:THEHACKERNEWS