Ошибка в Windows 10 предоставляла UWP-приложениям доступ ко всем файлам

image

Теги: Microsoft, Windows 10, конфиденциальность

Ошибка в API «broadFileSystemAccess» позволяла UWP приложениям получить доступ к документам, фото и файлам в OneDrive.

Не привлекая лишнего внимания Microsoft устранила серьезную недоработку в многострадальной версии Windows 10 October 2018 Update, распространение которой компания приостановила несколькими неделями ранее. Речь идет об ошибке в API «broadFileSystemAccess» в Windows, предоставлявшей приложениям, разработанным для Универсальной платформы Windows (Universal Windows Platform, UWP), доступ к пользовательскому контенту, включая документы, фотографии, загрузки и файлы, хранящиеся в облаке OneDrive.

Проблему обнаружил разработчик Себастьен Лачанс (Sébastien Lachance), когда созданное им приложение внезапно прекратило работать в Windows 10 October 2018 Update (версия 1809). По умолчанию UWP приложения могут получать доступ только к файлам и папкам, указанным в установочной директории программы, однако разработчики могут запрашивать доступ и к другим локациям при наличии соответствующего разрешения от пользователя.

Согласно документации Microsoft, API «broadFileSystemAccess» предоставляет доступ ко всем файлам, к которым есть доступ у пользователя. Данную функцию Microsoft позиционирует как возможность для разработчиков сделать свои приложения более удобными для пользователей.

«Это ограниченная возможность. При первом использовании функция запросит у пользователя нужный доступ. Уровень доступа можно настроить в Settings -> Privacy -> File system», - поясняет производитель.

Проблема заключается в том, что до версии 1809 на экран не выводилось диалоговое окно, уведомляющее о предоставлении дополнительного доступа. Таким образом API можно было использовать для доступа ко всей файловой системе. Microsoft уже устранила недоработку, отключив широкий доступ к файловой системе.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.