La technologie Smart Media4U basée à Singapour a déclaré aujourd’hui qu’elle corrigeait les vulnérabilités de SHAREit qui auraient pu permettre aux attaquants d’exécuter du code arbitraire à distance sur les appareils des utilisateurs.

Les bogues de sécurité ont un impact sur l’application SHAREit Android de la société, une application qui a été téléchargée plus d’un milliard de fois, selon les statistiques du Google Play Store.

« Le 15 février 2021, nous avons pris connaissance d’un rapport de Trend Micro sur les vulnérabilités de sécurité potentielles de notre application », a déclaré SHAREit dans un communiqué de presse publié vendredi.

« Nous avons travaillé rapidement pour enquêter sur ce rapport, et le 19 février 2021, nous avons publié un correctif pour corriger les vulnérabilités présumées. »

Utilisateurs SHAREit exposés aux attaques

Comme l’ont constaté les analystes des menaces mobiles de Trend Micro, Echo Duan et Jesse Chang, les bogues de sécurité désormais corrigés peuvent être utilisés de manière abusive par des attaquants pour accéder aux informations sensibles stockées par les utilisateurs sur des appareils exécutant des versions SHAREit vulnérables.

Ils pourraient également être utilisés de manière abusive pour exécuter du code arbitraire avec des autorisations SHAREit à l’aide d’un code ou d’une application malveillants, permettant potentiellement aux acteurs de la menace de l’utiliser dans des attaques RCE (Remote Code Execution).

Les failles de sécurité exposent également les utilisateurs de versions SHAREit non corrigées à des attaques de type man-in-the-disk (MITD), permettant aux attaquants de manipuler les ressources d’application stockées sur le stockage externe via l’injection de code.

En 2019, SHAREit a corrigé deux autres vulnérabilités de sécurité qui auraient permis aux attaquants de contourner le mécanisme d’authentification de l’application et de télécharger des fichiers utilisateur arbitraires à partir d’appareils vulnérables.

Vulnérabilités corrigées après la divulgation publique

Alors que le propriétaire de SHAREit dit qu’il vient de prendre connaissance des résultats de Trend Micro au début du mois, Trend Micro a noté que les bogues de sécurité avaient été signalés au fournisseur trois mois avant la publication du rapport.

« Nous avons décidé de divulguer nos recherches trois mois après l’avoir signalé, car de nombreux utilisateurs pourraient être affectés par …