Lỗi ứng dụng Windows 10 UWP có thể lấy cắp dữ liệu

Lỗi này đã được Sebastien Lachance, một nhà phát triển cao cấp chuyên về các ứng dụng Windows phát hiện ra. Microsoft đã mở rộng các đặc tính bảo mật của việc sử dụng các ứng dụng UWP trong Windows 10 do chúng được chạy riêng biệt với phần còn lại của hệ điều hành.

Mặc dù các ứng dụng UWP sẽ chạy ở chế độ 'sandbox' để chúng không có quyền truy cập vào tệp và thư mục của bạn, API broadFileSystemAccess cho phép ứng dụng truy cập vào ổ cứng và tệp của bạn. Trong các ứng dụng hợp pháp, điều này là cần thiết nếu nó cần để có thể mở, chỉnh sửa và lưu tệp vào máy tính của bạn (chẳng hạn như với ứng dụng chỉnh sửa hình ảnh Windows 10).

Khi một ứng dụng sử dụng API và sử dụng tính năng này, một cửa sổ được cho là sẽ xuất hiện cảnh báo người dùng và yêu cầu họ cho phép. Tuy nhiên, lỗi được phát hiện gần đây có nghĩa là điều này không xảy ra. Vì vậy, người dùng không được yêu cầu quyền hoặc được thông báo cho quyền truy cập và các ứng dụng được cấp quyền truy cập toàn hệ thống theo mặc định.

Đây là một vi phạm an ninh nghiêm trọng.

Tin tốt là Microsoft dường như đã khắc phục vấn đề này với Bản cập nhật Windows 10 tháng 10 năm 2018, vì vậy nếu bạn chưa cài đặt thì bây giờ là lúc để làm như vậy, đặc biệt nếu bạn sử dụng nhiều ứng dụng Windows 10 UWP.

Mặc dù không rõ liệu có bất kỳ ứng dụng độc hại nào khai thác lỗi đã được thêm vào cửa hàng hay không, Microsoft đã bị chỉ trích trước đây vì cách tiếp cận lỏng lẻo để giám sát Windows Store, so với Apple và Google và các cửa hàng ứng dụng tương ứng.