Windows 10 UWP API的漏洞允许开发者窃取所有数据
微软当初规划UWP应用程序就是为提高整体的安全性,毕竟所有应用程序只有通过微软审核才能被用户下载。
同时UWP类应用程序只能运行在自己独立的沙盒进程里,无法访问其他位置也可以提高对整个系统的安全性。
然而最新被发现的漏洞则是允许UWP应用程序再不需要经用户确认的情况下访问整个硬盘和文件系统的内容。
也可直接禁用所有应用的读取权限
微软UWP API接口存在的漏洞:
原本为方便UWP应用程序读取其他位置的文件微软为开发者提供现成的接口,开发者只需要调用该接口即可。
正常情况下初次调用该接口时UWP类应用会弹出对话框请求用户允许,也必须用户允许后应用才可访问数据。
然而研究人员发现该接口存在致命漏洞,恶意的UWP开发者可利用该漏洞绕过用户权限请求无限制访问文件。
尽管该漏洞并不会导致UWP开发者可以安插其他木马病毒,但显然如果别有用心的话则可以窃取机密文件等。
微软在V1809版中已经修复:
目前微软已经确认该漏洞的存在并称:已经在Windows 10 Version 1809版中调整API 接口对漏洞进行封堵。
然而旧版本的Windows 10目前仍然未对该漏洞进行修复,所幸UWP应用上架时还需要微软进行审核才可以。
但现在微软对于应用商店的审核工作其实漏洞频出,例如有开发者冒充谷歌发布UWP版的谷歌相册都被通过。
所以指望微软人工审核来提高安全性其实也是个问题,现在也并不清楚是否有恶意UWP应用已经利用该漏洞。