Microsoft พบช่องโหว่ความปลอดภัยใหม่ใน Android ที่ส่งผลกระทบต่อการดาวน์โหลดกว่า 4 พันล้านครั้ง

Microsoft เตือนผู้ใช้และนักพัฒนา Android เกี่ยวกับรูปแบบช่องโหว่ที่พบในแอป Android หลายตัวใน Google Play Store ช่องโหว่นี้อาจส่งผลกระทบต่อการติดตั้งกว่า 4 พันล้านครั้งทั่วโลก ตามที่ประกาศใน รายงานล่าสุด.

ในบรรดาแอปที่ได้รับผลกระทบ Microsoft เปิดเผยสองแอปที่ใหญ่ที่สุด: WPS Office ที่มีการติดตั้งมากกว่า 500 ล้านครั้งและ File Manager ของ Xiaomi Inc ที่มีการติดตั้งมากกว่า 1 พันล้านครั้ง ทั้งสองบริษัทได้รับการแจ้งเตือนในเดือนกุมภาพันธ์ปีนี้และได้แก้ไขปัญหาตั้งแต่นั้นมา

รายงานยอมรับว่าแอปอื่น ๆ อีกหลายแอปที่คิดเป็นการติดตั้งมากกว่า 500 ล้านครั้งอาจได้รับผลกระทบ แต่ไม่มีแอปใดถูกระบุชื่อเฉพาะ

การละเมิดความปลอดภัยนี้ที่เรียกว่า “การโจมตี Dirty Stream” ถูกตรวจพบในส่วนประกอบผู้ให้บริการเนื้อหาที่อนุญาตให้แอปแชร์ข้อมูล ช่องโหว่ในส่วนประกอบนี้ทำให้แอปมีความเสี่ยงเนื่องจากผู้โจมตีที่เป็นอันตรายสามารถควบคุมแอปและเข้าถึงโทเค็นของผู้ใช้ได้ ตามที่ผู้เชี่ยวชาญของ Microsoft อธิบายในการประกาศเมื่อวันที่ 1 พฤษภาคม ผลกระทบอาจแตกต่างกันไปและขึ้นอยู่กับวิธีที่แอปพลิเคชันใช้งานส่วนประกอบนี้

Google ร่วมมือกับ Microsoft เปิดเผยช่องโหว่นี้และแบ่งปัน รายงานความเสี่ยงด้านความปลอดภัย บนแพลตฟอร์ม Android Studio สำหรับนักพัฒนา โดยให้ข้อมูลเพิ่มเติมและคำแนะนำเกี่ยวกับวิธีหลีกเลี่ยงช่องโหว่ในอนาคตและแก้ไขช่องโหว่ปัจจุบัน

การประกาศของ Microsoft ไม่เพียงแค่ทำหน้าที่เป็นคำเตือนสำหรับผู้คนหลายพันล้านที่อาจได้รับผลกระทบ แต่ยังเป็นการเชิญชวนให้บริษัทเทคโนโลยีขนาดใหญ่อื่น ๆ และนักพัฒนาแอปทำงานร่วมกันเพื่อให้ความปลอดภัยของแอปที่ดีขึ้นทั่วทั้งอุตสาหกรรม คำแถลงของ Microsoft ระบุว่าไม่ได้ให้คำแนะนำเพียงอย่างเดียวแก่ผู้ใช้และนักพัฒนาแอป แต่ยังมีเป้าหมายที่จะ “แสดงให้เห็นถึงความสำคัญของการทำงานร่วมกันเพื่อปรับปรุงความปลอดภัยสำหรับทุกคน”

รายงานของ Microsoft ยังให้คำแนะนำสำหรับผู้ใช้ Android โดยข้อเสนอแนะที่สำคัญที่สุดคือการตรวจสอบให้แน่ใจว่ามีการติดตั้งแอปพลิเคชันเวอร์ชันล่าสุดอยู่ในขณะนี้

นอกจากนี้ยังแบ่งปันตัวอย่างปัญหาจริงโดยใช้กรณีศึกษาเกี่ยวกับ File Manager ของ Xiaomi Inc. เป็นการอ้างอิง โดยอธิบายว่าการทำงานของแอปที่เป็นอันตรายอาจทำงานอย่างไรในสถานการณ์ที่รุนแรง: “นอกเหนือจากการเข้าถึงพื้นที่จัดเก็บภายนอกของอุปกรณ์แล้ว แอปพลิเคชันยังขอสิทธิ์การเข้าถึงหลายอย่างรวมถึงความสามารถในการติดตั้งแอปอื่น ๆ”

ทั้งนี้ ตามที่ Forbes ยืนยันอีกครั้ง ไม่มีอะไรที่ผู้ใช้สามารถทำได้นอกจากการติดตามข่าวสาร อัปเดตแอปพลิเคชันของพวกเขา และปฏิบัติตามคำแนะนำของ Microsoft: “ผู้ใช้ควรติดตั้งแอปพลิเคชันเฉพาะจากแหล่งที่เชื่อถือได้เพื่อหลีกเลี่ยงแอปพลิเคชันที่อาจเป็นอันตราย”