Windows 10 - Fehler erlaubte UWP-Apps kompletten Dateizugriff

Die eigentlich als sicher geltenden UWP-Apps konnten einen Fehler in Windows 10 nutzen, um sich ohne Nutzererlaubnis Zugriff auf das Dateisystem des Rechners zu verschaffen.

von Georg Wieselsberger,
05.11.2018 08:08 Uhr

Windows 10 hatte ein Problem mit der Sicherheit von UWP-Apps.Windows 10 hatte ein Problem mit der Sicherheit von UWP-Apps.

Die Universal Windows Platform (UWP) wurde von Microsoft laut eigener Aussage auch deswegen eingeführt, um die Sicherheit zu erhöhen. Normalerweise haben UWP-Apps auch nur Zugriff auf Dateien und Ordner im eigenen Installationsverzeichnis, außerdem noch auf Windows-eigene Ordner wie AppData oder Temp.

Da es auch Apps gibt, die auf weitere Daten zugreifen sollen, ist eine entsprechende Auswahl durch Nachfrage beim Nutzer oder durch die Zuweisung von Zugriffsrechten durch den Nutzer vorgesehen. Für besondere Fälle gibt es aber auch eine Rechtezuweisung, die einer App erlaubt, auf alle Dateien zuzugreifen, auf die auch der Nutzer Zugriffsrechte hat. Wird dieses Recht vom App-Entwickler im Code eingefordert, soll beim ersten Start der App ein entsprechendes Fenster angezeigt werden, in dem der Nutzer den Zugriff auf das gesamte Dateisystem des Rechners explizit aktivieren muss.

Wie der Entwickler Sébastien Lachance berichtet, wurde dieses Fenster allerdings durch einen Fehler in Windows 10 nicht angezeigt. Noch schlimmer ist aber, dass Windows 10 die Anforderung nach einer Nutzerzustimmung für dieses umfassende Recht auch nicht erzwang, sodass jede App auch ohne Erlaubnis kompletten Zugriff auf das Dateisystem haben konnte.

Windows 10 Updates im Griff - Deaktivieren, verzögern, Bandbreite begrenzen

Erst nach der Installation des Oktober-2018-Update wurde Lachance darauf aufmerksam, da seine bisher funktionierende App abstürzte. Der Grund dafür ist, dass Windows 10 Version 1809 nun doch die Zustimmung durch den Nutzer erzwingen will - allerdings scheint das entsprechende Fenster weiterhin nicht aufzutauchen.

Microsoft ist über diesen Fehler informiert. Laut Bleeping Computer müssen aber alle Apps, die auf das Dateisystem zugreifen wollen, diesen Zugriff vor der Veröffentlichung im Microsoft Store begründen. Das hätte eigentlich genauere Prüfungen zur Folge haben sollen. Wie lange es dauern wird, bis das Fenster mit der Frage nach der Nutzerzustimmung wieder korrekt angezeigt wird, bleibt indes abzuwarten.

Hardware-Tipps - Mit System-Tools mehr über die eigene Hardware erfahren 6:00 Hardware-Tipps - Mit System-Tools mehr über die eigene Hardware erfahren


Kommentare(17)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen