پرش از دستورهای نوار
رد کردن تا محتوای اصلی

اداره کل فناوری اطلاعات و ارتباطات

:

اخبار: مشکل امنیتی ویندوز ۱۰ و دسترسی غیر مجاز برنامه‌های کاربردی UWP به اطلاعات حساس کاربران

عنوان

مشکل امنیتی ویندوز ۱۰ و دسترسی غیر مجاز برنامه‌های کاربردی UWP به اطلاعات حساس کاربران

مشکل امنیتی ویندوز ۱۰ و دسترسی غیر مجاز برنامه‌های کاربردی UWP به اطلاعات حساس کاربران

مایکروسافت در اکتبر ۲۰۱۸ بروزرسانی‌های امنیتی خود را در حالی منتشر کرد که در بین آن بی‌سر و صدا به برطرف کردن باگی در سیستم عامل ویندوز ۱۰ پرداخته بود. این باگ چه بود؟ به برنامه‌های کاربردی مایکروسافت اجازه داده می‌شد تا به فایل‌های سیستمی کاربر بدون کسب اجازه و یا اطلاع او دسترسی یابند. حقیقت امر آن است که برخلاف ادعای مایکروسافت مبنی بر دسترسی به داده‌ها با کسب اجازه کاربران در حقیقت دسترسی به فایل‌ها و اطلاعات حساس کاربران توسط این برنامه‌های کاربردی وجود داشته است و مایکروسافت بی ‌سر وصدا در بروزرسانی‌های امنیتی ماه اکتبر بروزرسانی مربوطه را منتشر ساخته است. در ادامه توضیحات فنی بیشتری خواهیم داد تا با جزئیات بیشتر آشنا شوید.

 
 

دسترسی برنامه‌های کاربردی بدون اجازه کاربران تا چه حدی بوده است؟

در ویندوز ۱۰، مایکروسافت پلتفرم UWP را معرفی کرد. این پلتفرم به برنامه‌های کاربردی اجازه می‌داد تا بر روی هر دستگاهی که سیستم عاملش ویندوز ۱۰ می‌باشد، راه‌اندازی شود. فرقی نمی‌کرد که PC باشد یا Xbox، IoT Surface Hub و یا هدست Mixed-reality.

 مایکروسافت می‌گوید این API اجازه دسترسی به فایل‌های مشخصی از جمله تصاویر، موزیک، دوربین و بلندگو را داشته و البته آن هم با کسب اجازه از کاربر. همچنین برنامه‌های کاربردی UWP به دایرکتوری‌هایی که برنامه در آن نصب شده و یا اطلاعاتش ذخیره می‌گردد دسترسی دارد. قابلیتی با نام broadFileSystemAccess به این برنامه‌های کاربردی اجازه دسترسی به فایل‌های سیستمی را می‌دهد. البته غیر از این روش، روش‌های دیگری هم برای این برنامه‌های کاربردی وجود دارد. اما ادعای مایکروسافت این است که در ابتدای نصب، تمامی موارد از کاربر سوال شده و بسته به اجازه و یا عدم اجازه کاربر دسترسی‌ها صورت می‌پذیرید.

آیا مایکروسافت واقعیت را گفته بود؟

Sébastien Lachance یک توسعه‌دهنده برنامه‌های کاربردی ویندوز است. Lachance این حقیقت را بعد از بروزرسانی ماه اکتبر کشف کرد. برنامه کاربردی او بعد از انجام بروزرسانی ماه اکتبر مایکروسافت از کار افتاد. این توسعه دهنده متوجه شد در بروزرسانی جدید، مایکروسافت برای برطرف کردن باگ امنیتی کشف شده قابلیت ‘broadFileSystemAccess’ که پیش‌تر راجع به آن صحبت کرده بودیم را به صورت پیش‌فرض خاموش کرده است. اما مایکروسافت صحبتی در این خصوص انجام نداده بود و پیش‌تر ادعا کرده بود که دسترسی به اطلاعات کاربران ویندوز ۱۰ با کسب اجازه از آن‌ها صورت پذیرفته است. البته این بروزرسانی نه تنها مشکل امنیتی کاربران ویندوز ۱۰ را حل نکرد بلکه باعث شد دیگر برنامه‌های کاربردی بعد از بروزرسانی ویندوز ۱۰ به درستی کار نکنند و کاربران یا باید بروزرسانی را انجام نمی‌دادند و یا برنامه‌های کاربردی را بروزرسانی می‌کردند.

حال چرا مشکل امنیتی هم به درستی برطرف نشد؟ توسعه‌دهندگان برنامه‌های کاربردی با اضافه کردن تنها یک خط کد می‌توانند کاربران را مجبور به دادن اجازه به برنامه نمایند، در این صورت بدون نیاز به بروزرسانی برنامه کاربردی، برنامه‌های کاربردی بر روی ویندوز ۱۰ بروزرسانی شده کار خواهند کرد و البته مشکل امنیتی ‘broadFileSystemAccess’ به قوت خود باقی خواهد ماند و اطلاعات حساس کاربران در معرض خطر خواهند بود.

راهکار دیگر آن است که بروزرسانی مربوطه را نصب ننمایید و به صورت دستی در تنظیمات ویندوز ۱۰ دسترسی برنامه‌های کاربردی UWP را محدود نمایید.

تاریخ انتشار

20/12/1397

تصویر خبر

پیوست: