یک نقص در ویندوز 10 به برنامه‌های UWP اجازه می‌دهد تا به تمامی فایل‌ها بدون رضایت کاربر دسترسی داشته باشند. - مرکز پژوهشی آپا

UWP مایکروسافت یک نقص در سیستم عامل ویندوز ۱۰ را همراه با به روز رسانی اکتبر ۲۰۱۸ (نسخه ۱۸۰۹) سیستم‌عامل ویندوز ۱۰ وصله کرد که به برنامه‌های فروشگاه مایکروسافت با مجوزهای گسترده فایل‌های سیستمی، اجازه می‌داد به تمامی فایل‌های موجود بر روی کامپیوترهای کاربران و بدون رضایتشان دسترسی داشته باشد.

با ویندوز ۱۰، مایکروسافت یک پلت فرم رایج را به نام Universal Windows Platform یا UWP معرفی کرد که اجازه می دهد برنامه ها در هر دستگاهی که ویندوز ۱۰ را اجرا می کند، از جمله رایانه های رومیزی، ایکس‌باکس، دستگاه‌های اینترنت اشیاء، Surface Hub و هدست‌های Mixed-reality اجرا شوند.

برنامه‌های UWP دارای مجوزهای مورد نیاز برای دسترسی به API خاص (فایل‌هایی مانند تصاویر، موسیقی یا دستگاه هایی مانند دوربین و میکروفون) توسط اعلام مجوزهای درخواستی در فایل manifest بسته (پیکربندی) هستند.

به طور پیش فرض، برنامه های UWP به دایرکتوری ها دسترسی دارند، جایی که برنامه‌ها در سیستم کاربران نصب شده است و جایی که برنامه می تواند داده‌ها را ذخیره کنند (محلی، رومینگ و فولدرهای موقتی).

با این حال، برای دسترسی به سایر فایل ها در یک سیستم، از جمله منابع حساس، مایکروسافت چندین نوع از قابلیت ها را ارائه می دهد که یک برنامه می تواند از آن‌ها با اعلان مجوز خود در فایل manifest استفاده کند.

یکی از این قابلیت های گسترده که BroadFileSystemAccess نامیده می شود (Access File System Access) به یک برنامه اجازه می‌دهد تا به یک فایل سیستم در همان سطحی که کاربر مورد نظر این برنامه را راه اندازی کرده است، دسترسی داشته باشد.

با این حال، طبق گفته مایکروسافت، این یک قابلیت محدود است که اگر استفاده شود، رضایت کاربر را برای اولین باری که کاربر برنامه را راه اندازی می کند از او درخواست می‌کند و از آنها می خواهد که این اجازه را به برنامه اعطا کرده یا رد کند.

مایکروسافت در این باره می‌گوید[۱]: “در اولین استفاده، سیستم کاربر را مجاز به دسترسی می کند. دسترسی در بخش تنظیمات، حریم خصوصی و سیستم فایل قابل تنظیم است. اگر شما یک برنامه را در این فروشگاه قرار دادید که این قابلیت را دارد، شما باید توضیحات بیشتری در مورد اینکه چرا برنامه شما این قابلیت را دارد و چگونه از آن استفاده می‌کند، بدهید.”

بر اساس یک توسعه دهنده برنامه‌های ویندوز به نام Sébastien Lachance، نسخه‌های ویندوز ۱۰ قبل از به روز رسانی اکتبر ۲۰۱۸ برای نشان دادن درخواست برای دسترسی به فایل‌های سیستم به دلیل این نقص با مشکل مواجه هستند و ظاهرا داده های حساس کاربران را در معرض برنامه های دانلود شده از فروشگاه ویندوز قرار می‌دهند.

به عبارت دیگر، تا نسخه ۱۸۰۹، برنامه ها واقعا می توانند برای دسترسی به فایل‌های سیستم بدون اعلان به کاربران برای دریافت مجوز استفاده شوند.

Lachance وقتی متوجه این اشکال شد که یکی از برنامه هایش که از مجوز broadFileSystemAccess استفاده می کرد پس از نصب به روز رسانی اکتبر ۲۰۱۸ ویندوز ۱۰، دچار crash شد[۲].

یک مهندس مایکروسافت برای Lachance توضیح داد که بعد از آخرین به روز رسانی ویندوز ۱۰ با قرار دادن تنظیماتbroadFileSystemAccess به صورت پیش فرض بر روی OFF، تمام برنامه‌های UWP ممکن است لازم باشد برای جلوگیری از خرابی‌ها به روز رسانی شوند.

به منظور جلوگیری از crashها، Andrew به توسعه دهندگان برنامه ویندوز پیشنهاد داد که یک خط ساده از کد را در نرم افزار آسیب پذیر خود اضافه کنند که کاربران را مجبور به پذیرش مجوز دسترسی جدید فایل در تنظیمات قبل از راه اندازی برنامه می کند.

از آنجایی که به روز رسانی اتوماتیک مایکروسافت از زمان به روزرسانی ویندوز ۱۰ از اکتبر ۲۰۱۸ به علت یک اشکال متوقف شده است[۳]، کاربرانی که موفق به به روزرسانی نشدند، می توانند دسترسی برنامه های UWP را به فایل‌های سیستمی بر روی رایانه دارای ویندوز ۱۰ خود محدود کنند.