A aplicação, compatível com diversas plataformas de smartphones, permite aos utilizadores a partilha de ficheiros entre os dispositivos diretamente.

As falhas encontradas permitiam vazar informação sensível do utilizador, executar código arbitrário e possivelmente a execução de código remota.

Isto acontece devido à forma como a aplicação permite a partilha de ficheiros, que potencialmente leva a permitir que qualquer terceira parte ganhe permissões de acesso de escrita/leitura temporária e consiga explorá-las para poder reescrever esses ficheiros na pasta de dados da aplicação.

Existe também uma funcionalidade que é instalar um APK de sufixo sapk. Isto pode ser usado para instalar uma aplicação maliciosa; neste caso, iria permitir uma execução de código limitada caso o utilizador clicasse num URL. Desta forma, pode ser desencadeado um ataque man-in-the-disk, proveniente do uso descuidado das permissões de armazenamento externo, abrindo portas à instalação de aplicações fraudulentas e ainda a negações de serviço.

Takeaways

- Atualizar as aplicações que tenha no telemóvel

- Ler recomendações e reviews das aplicações que o utilizador quer usar e instalar

Mais informações: https://www.trendmicro.com/en_us/research/21/b/shareit-flaw-could-lead-to-remote-code-execution.html