Win 10: Bug in UWP-API ermöglicht Nutzerdaten abzugreifen

[English]Es gibt die Diskussion darüber, dass eine Designschwäche (ein Bug) in der Universal Windows Platform-API es UWP-App-Entwicklern ermöglicht, auf beliebige Nutzerdaten zuzugreifen. In Windows 10 V1809 hat Microsoft versucht, den Bug abzuschwächen – aber dann stürzen UWP-Apps ab.


Anzeige

Dem App-Entwickler und MVP Sébastien Lachance ist kürzlich aufgefallen, dass UWP-Apps auf das gesamte Dateisystem zugreifen können. D.h. die App ist nicht darauf beschränkt, das der Zugriff auf Dateien und Ordner über einen Datei-Picker oder LocalStorage beschränkt ist. Microsoft hat die zulässigen Zugriffe auf das Dateisystem in diesem Dokument (broadFileSystemAccess API) beschrieben. In der Dokumentation heißt es auch: "Bei der ersten Benutzung fordert das System den Benutzer auf, den Zugriff zu erlauben". Es sind von Microsoft als (theoretisch) Sicherungsmaßnahmen für den Zugriff vorgesehen, die unberechtigte Zugriffsversuche abfangen. Ohne Nutzerzugriff kann eine UWP-App nicht auf Dateien zugreifen, ohne dass der Benutzer dem zugestimmt hat – zumindest theoretisch …

Die UWP-App fragt bis Windows 10 V1803 nicht nach

Als Lachance dann in einer UWP-App ein Feature zum Zugriff auf lokale Dateien implementierte, stellte er fest, dass sein fest implementierter Pfad "C:\myAppData" keine Nachfrage von Windows, ob der Zugriff zulässig sei, provozierte. An diesem Punkt lässt sich also feststellen, dass die Microsoft-Dokumentation nicht stimmt, sondern genau das Gegenteil behauptet. Es wäre also bis Windows 10 V1803 möglich, per UWP-App auf das Dateisystem zuzugreifen und Informationen abzurufen.

Die UWP-App stürzt ab Windows 10 V1809 plötzlich ab

Als er dann die App unter Windows 10 V1809, das zurückgezogene Oktober 2018 Update, testete, stürzte diese plötzlich bereits beim Start ab, wie er hier schreibt. Er hat dann herausgefunden, dass der Zugriff auf die Datei im oben angegebenen Pfad den Absturz der App verursachte.

So etwas ist natürlich für einen App-Entwickler tödlich – er schnitzt eine App und nach einem Feature-Update läuft diese nicht mehr. Zuerst dachte er, dass das Manifest der UWP-App geändert wurde, und der Absturz deshalb passierte. Also hat er seine Ansprechpartner bei Microsoft kontaktiert.

Tricky Lösung unter Windows 10 V1809

Diese haben ihm dann zwei wichtige Informationen in Bezug auf Dateizugriffe bei UWP-Apps bestätigt.

  • Dass kein Windows-Dialog beim ersten Zugriff auf eine Datei angezeigt wird, ist schlicht ein Bug. Das konnte man auch schon anhand der oben verlinkten MSDN-Dokumentation vermuten.
  • Da es sich (bei den Dateizugriffen) um ein Datenschutzproblem handelt, entschied sich Microsoft in Windows 10 Oktober 2018 Update zu einer Änderung. Den Wert für den Zugriff auf alle Dateien des Dateisystems (er schreibt von 'broad access file system') auf OFF zu setzen.

Der erste Punkt hat zur Folge, dass bis Windows 10 V1803 Zugriffe auf alle Dateien aus UWP-Apps möglich sind. Der zweite Punkt bewirkt, dass diese Zugriffe von den Datenschutzeinstellungen angefangen werden sollen, dann aber einen App-Absturz auslösen.

Dateizugriff in UWP-Apps
(Quelle: Lachance)

Lachance schreibt, dass sich die Liste der Anwendungen, die Zugriff auf das Dateisystem haben können, in der Windows 10 Einstellungen-App unter Datenschutz > Dateisystem zu finden ist (siehe obiger Screenshot). Ist der Zugriff auf das Dateisystem eingeschaltet, lässt sich für jede App vorgeben, ob diese auf das Dateisystem zugreifen darf.


Anzeige

Entwickler von UWP-Apps können mit folgendem API-Aufruf die Anzeige dieser Einstellungsseite erzwingen:

await Windows.System.Launcher.LaunchUriAsync(new Uri("ms-settings:privacy-broadfilesystemaccess"));

Entwickler können diese Methode aufrufen, nachdem Sie einen Dateisystemzugriff in einem Try/Catch durchgeführt haben, und dann festlegen, ob Sie die Einstellungsansicht aufrufen müssen. Man sollte aber beachten, dass das Umschalten des Wertes in den Windows-Einstellungen dazu führt, dass die ausgeführte UWP-App abstürzt. Lachance empfiehlt, den Benutzer entsprechend zu warnen. Auch eine Lösung, Programmierung per Vorschlaghammer. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter App, Sicherheit, Windows 10 abgelegt und mit App, Problem, Sicherheit, Windows 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Win 10: Bug in UWP-API ermöglicht Nutzerdaten abzugreifen

  1. Windoof-User sagt:

    Soviel zum Thema "Windows Store Apps sind sicher"… Ein Grund mehr, Windows Store Apps nicht zu nutzen und den Zugriff auf den Windows Store zu sperren.

  2. Andy sagt:

    Am Besten ist es, gleich den ganzen Windows Store zu schließen.

  3. DasOmen sagt:

    Waren die Apps im Google Play Store immer sicher ? Oder die im Apple Store ?
    Hauptsache mal wieder auf Windows ablästern können,gelle ?
    @Windoof-User….dann nutze doch Linux und lass die Finger von dem ach so schäbigem Windows.
    Linux vs Windows…..Intel vs AMD usw. Man kann es nicht mehr hören,geschweige denn Lesen.
    Amen :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.