Windows 10 Bug permet aux applications UWP d’accéder à tous les fichiers sans le consentement de l’utilisateur

Microsoft a patché de manière silencieuse un bogue de son système d’exploitation Windows 10 avec la mise à jour d’octobre 2018 (version 1809) qui permettait aux applications du Microsoft Store disposant d’une autorisation étendue du système de fichiers d’accéder à tous les fichiers sur les ordinateurs des utilisateurs sans leur consentement.

Avec Windows 10, Microsoft a introduit une plate-forme commune, appelée plate-forme universelle Windows (UWP), qui permet aux applications de s’exécuter sur tout périphérique fonctionnant sous Windows 10, notamment les ordinateurs de bureau, Xbox, IoT, Surface Hub et le casque à réalité mixte.

Les applications UWP ont la possibilité d’accéder à certaines API, à des fichiers tels que des images, à de la musique ou à des périphériques tels qu’un appareil photo et un microphone, en déclarant les autorisations requises dans leur fichier de manifeste de package (configuration).

Par défaut, les applications UWP ont accès aux répertoires dans lesquels l’application est installée sur le système des utilisateurs et où l’application peut stocker des données (dossiers locaux, itinérants et temporaires).

Toutefois, pour accéder à d’autres fichiers d’un système, y compris à des ressources sensibles, Microsoft propose plusieurs types de fonctionnalités qu’une application peut utiliser en déclarant son autorisation dans le fichier manifeste.

L’une de ces fonctionnalités étendues, appelée broadFileSystemAccess (accès au système de fichiers étendu), permet à une application d’accéder au système de fichiers au même niveau que l’utilisateur qui a lancé l’application.

Toutefois, selon Microsoft, il s’agit d’une fonctionnalité restreinte qui, si elle est utilisée, déclenchera une invite de consentement de l’utilisateur lors du premier lancement de l’application, en leur demandant d’accorder ou de refuser cette autorisation.

"Lors de la première utilisation, le système demandera à l’utilisateur d’autoriser l’accès. L’accès est configurable dans Paramètres> Confidentialité> Système de fichiers. Si vous soumettez une application au magasin qui déclare cette fonctionnalité, vous devrez fournir des explications supplémentaires sur les raisons pour lesquelles votre application a besoin de cette capacité et de la manière dont il compte l’utiliser ", indique la documentation de Microsoft .

Selon Sébastien Lachance , développeur d’applications Windows , la version de Windows 10 antérieure à octobre 2018 n’a pas pu afficher la demande d’autorisations d’accès au système de fichiers en raison d’un bogue, laissant apparemment aux utilisateurs des données sensibles exposées aux applications téléchargées à partir du Windows Store.

En d’autres termes, jusqu’à la version 1809, les applications pouvaient en fait être utilisées pour accéder à l’ensemble du système de fichiers sans demander l’autorisation de l’utilisateur.

Lachance a appris l’ existence de ce bogue lorsqu’une de ses applications utilisant l’autorisation broadFileSystemAccess a commencé à se bloquer après avoir installé la mise à jour Windows 10 octobre 2018.

Un ingénieur de Microsoft a expliqué par la suite à Lachance que, puisque la dernière mise à jour de Windows 10 répondait au problème de l’invite en désactivant le paramètre ’broadFileSystemAccess’ par défaut, il pourrait être nécessaire de mettre à jour toutes les applications UWP pour éviter les pannes.

Pour éviter les pannes, Andrew a suggéré aux développeurs d’applications Windows d’inclure une simple ligne de code dans le logiciel concerné, ce qui obligerait leurs utilisateurs à accepter la nouvelle autorisation d’accès aux fichiers dans les paramètres avant de lancer l’application.

Étant donné que Microsoft a suspendu le déploiement de la mise à jour de Windows 10 octobre en raison d’un bogue d’effacement de fichier, les utilisateurs ne disposant pas de cette mise à jour peuvent restreindre l’accès des applications UWP au système de fichiers de leur ordinateur Windows 10 via Paramètres → Confidentialité → Système de fichiers. .

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image