A Microsoft corrigiu silenciosamente um bug no sistema operativo Windows 10 com a atualização de outubro de 2018 (versão 1809) que permitia que as aplicações da Microsoft Store com ampla permissão do sistema de ficheiros acedessem a todos os ficheiros nos computadores dos utilizadores sem o seu consentimento prévio.
Com o Windows 10, a Microsoft lançou uma plataforma comum, chamada Universal Windows Platform (UWP), que permite que as apps sejam executadas em qualquer dispositivo que execute o Windows 10, incluindo desktops, Xbox, IoT, Surface Hub e Mixed-reality headset.
Por padrão, as aplicações UWP têm acesso a diretórios, onde a app é instalada no sistema dos utilizadores e onde pode armazenar dados (nas pastas locais, roaming e temporárias).
No entanto, para aceder a outros ficheiros num sistema, incluindo recursos sensíveis e confidenciais, a Microsoft oferece vários tipos de recursos que uma app pode usar, declarando inicialmente as permissões de acesso no ficheiro manifest.
Um desses recursos abrangentes, chamado broadFileSystemAccess (Broad Filesystem Access), permite que uma app aceda o sistema de ficheiros no mesmo nível do utilizadores que iniciou a app.
No entanto, isto consiste numa capacidade restrita, se for usado, irá despoletar uma prompt solicitando permissões de execução enquanto os utilizadores estão a operar sobre o SO.
However, according to Microsoft, this is a restricted capability that, if used, will trigger a user-consent prompt while users first launch the app, asking them to grant or deny this permission to the app.
De acordo com o developer do Windows, Sébastien Lachance, a versão do Windows 10 anterior à atualização de outubro de 2018 não exibia solicitações de permissão para aceder o sistema de ficheiros devido a um bug.
According to Windows app developer Sébastien Lachance, Windows 10 version prior to October 2018 Update failed to display prompts for permission to access the file system due to a bug, apparently leaving users sensitive data exposed to apps downloaded from Windows Store.
Por outras palavras, até a versão 1809, as apps poderiam ser usados para aceder o sistema de ficheiros inteiro sem solicitar permissão aos utilizadores.
Mais tarde, um engenheiro da Microsoft explicou que, como a atualização mais recente do Windows 10 solucionou o problema, desativando a configuração ‘broadFileSystemAccess’ por padrão, todos os aplicativos UWP podem precisar ser atualizados para evitar falhas.
Para evitar falhas, Andrew sugeriu que os developers de apps do Windows incluíssem uma simples linha de código nos softwares afetados que forçaria os utilizadores a aceitar a nova permissão de acesso a ficheiros nas configurações antes de iniciar a app.
Since Microsoft halted the rollout of the Windows 10 October Update due to a file-wiping bug, users who don’t have the update can restrict UWP apps access to the file system on their Windows 10 computer via Settings → Privacy → File system.