Windows 10-Bug lässt UWP-Apps ohne Zustimmung der Benutzer auf alle Dateien zugreifen

Microsoft behob mithilfe des Oktober 2018-Updates (Version 1809) den in seinem Windows 10-Betriebssystem entstandenen Bug, welcher es Microsoft Store-Apps ermöglichte, mit umfangreichen Systemberechtigungen ohne das Einverständnis der Benutzer auf deren Dateien zuzugreifen.

Die Universal-Windows-Plattform (UWP), welche mit Windows 10 von Microsoft eingeführt wurde, erlaubt es Anwendungen, auf jedem Gerät zu operieren welches Windows 10 unterstützt, einschließlich Desktop-PC, Xbox, IoT, Surface Hub und Mixed-Reality-Headset.

UWP-Apps haben die Möglichkeit, auf bestimmte APIs, auf Dateien wie Bilder, Musik oder auf Geräte wie Kamera und Mikrofon zuzugreifen, indem sie die benötigten Berechtigungen in der Konfigurationsdatei der Applikation angeben.

UWP-Apps haben standardmäßig Zugriff auf die Verzeichnisse, auf welchen die Applikation installiert ist und auf die Verzeichnisse, auf denen die App Daten speichern kann (lokale, Roaming- und temporäre Ordner).

Microsoft bietet jedoch den UWP-Apps zusätzliche Funktionen an, die es den Apps erlaubt, Zugriff auf weitere Dateien des Systems, einschließlich vertraulicher Dateien, zu erhalten. Diese Berechtigungen können in der Konfigurationsdatei der Applikation festgeschrieben werden.

BroadFileSystemAccess (Broad Filesystem Access) bezeichnet hierbei den uneingeschränkten Zugriff auf das gesamte Dateisystems des Handys, genauso wie der Kunde es nutzen kann.

Microsoft versichert, dass es sich hierbei nur um eine eingeschränkte Funktion handelt, die bei der Verwendung eine Eingabeaufforderung für Benutzer auslöst, wenn die App zum ersten Mal gestartet wird und der Benutzer aufgefordert wird, die erforderten Berechtigungen zuzustimmen oder nicht.

„Wenn die App zum ersten Mal geöffnet wird, wird der Benutzer von dem System aufgefordert, den Zugriff der App auf einige Informationen und Dateien zuzulassen. Dieser Zugriff kann über Einstellungen > Datenschutz > Dateisystem konfiguriert werden. Wenn Entwickler einer App diese an den Store übermitteln, die erweiterte Berechtigungen des Systems fordert, müssen Gründe angegeben werden, weshalb die App die erweiterten Berechtigungen braucht und wie die App diese verwenden will“, so eine Microsoft-Dokumentation.

Die Windows 10-Version vor dem Oktober 2018 Update hat aufgrund eines Fehlers keine Aufforderungen zur Berechtigung für den Zugriff auf das Dateisystem angezeigt, so dass persönliche Daten von Benutzern den im Windows Store heruntergeladenen Anwendungen ausgesetzt waren, so der Windows-App-Entwickler Sébastien Lachance

Um es anders auszudrücken: Einige Apps konnten tatsächlich bis zur Version 1809 vollen Zugriff auf das ganze Dateisystem erlangen, ohne den Benutzer um Erlaubnis zu bitten.

Lachance erfuhr von diesem Fehler, als eine seiner Anwendungen, welche die broadFileSystemAccess-Berechtigung benötigt, nach der Installation des neuen Windows-Update vom 10. Oktober 2018 abstürzte.

Ein Microsoft-Entwickler erklärte Lachance daraufhin, dass seit dem letzten Windows 10-Update das Problem behoben wurde, indem die Einstellung ‚broadFileSystemAccess‘ standardmäßig deaktiviert wurde. Alle UWP-Apps müssen möglicherweise aktualisiert werden, um Abstürze zu vermeiden.

Um weitere Abstürze zu vermeiden, schlug Andrew vor, dass Windows-App-Entwickler eine einfache Codezeile in die betroffene Software aufnehmen, die ihre Benutzer zwingt, die neue Dateizugriffsberechtigung in den Einstellungen zu akzeptieren, bevor die Anwendung ausgeführt wird.

Da Microsoft die Einführung des Windows 10-Oktober-Updates aufgrund eines Fehler beim Löschen von Dateien verschoben hat, können Benutzer, welche das neue Update noch nicht installiert haben, den Zugriff von UWP-Apps auf das Dateisystem auf ihrem Windows 10-Computer über Einstellungen → Datenschutz → Dateisystem einschränken.