Błąd aplikacji UWP umożliwia im dostęp do danych systemowych

Błąd aplikacji UWP umożliwia im dostęp do danych systemowych

Autor: Łukasz Klimkiewicz

Opublikowano: 10/30/2018, 11:51 AM

Liczba odsłon: 620

Błąd Windows 10 pozwala aplikacjom UWP na dostęp do wszystkich plików systemowych bez zgody użytkownika. To poważny problem, ponieważ może on narazić nasze dane na niebezpieczeństwo, szczególnie jeżeli uruchamiamy podejrzanie wyglądające programy.

Domyślnie aplikacje UWP mają dostęp do plików zapisanych w swoim katalogu instalacyjnym oraz do lokalizacji AppData\Local, AppData\Roaming i katalogu plików tymczasowych. Jeżeli aplikacja potrzebuje dostępu do innych katalogów, musi wyświetlić komunikat informujący o tym użytkownika. Ten z kolei musi wyrazić na to zgodę. Również sam deweloper może zaznaczyć i jednocześnie ostrzec użytkownika, że jego aplikacja będzie miała dostęp do konkretnych miejsc na naszym komputerze. Mogą to być biblioteki dokumentów, obrazów, muzyki czy wideo, ale użytkownik musi być o tym poinformowany. Jeżeli deweloper skorzysta z takiej metody, to przez samo pobranie i zainstalowanie programu użytkownik zgadza się na te warunki.

Microsoft umożliwia jednak aplikacji dostęp do wszystkich plików zapisanych na urządzeniu. Opcja ta nazywa się broadFileSystemAccess, ale jej zastosowanie nie jest takie proste. Przy zgłaszaniu aplikacji do Sklepu Microsoft deweloper musi jasno wytłumaczyć, dlaczego jego aplikacja powinna posiadać takie uprawnienia. Następnie firma decyduje, czy taki program może zostać udostępniony publicznie. Sam Microsoft często wykorzystuje takie uprawnienia w swoich aplikacjach, na przykład w Sticky Notes, która ma dostęp do bibliotek użytkownika.

Mimo wszystko użytkownik nadal musi wyrazić zgodę na dostęp do danych. Na trop tego błędu wpadł jeden z deweloperów aplikacji UWP dla Windows 10. Zauważył, że przed aktualizacją October 2018 Update system Windows nie wymuszał na użytkowniku włączenia opcji zezwalania aplikacjom na dostęp do plików systemowych. Po październikowej aktualizacji opcja ta była domyślnie wyłączona i system powinien sugerować użytkownikowi umożliwienie aplikacji dostępu do danych, ale tego nie robi i zgoda ta jest udzielana automatycznie.