* Universal Windows Platform(UWP)
환경설정 파일에 권한에 대해 설정을 하면 특정 API, 사진, 음악과 같은 파일, 카메라, 마이크와 같은 장치에 접근이 가능함
디폴트 설정은 UWP 앱이 유저의 시스템에 설치되어 있는 디렉토리와 앱이 데이터를 저장하는 폴더에만 접근이 가능
시스템의 다른 파일들에 접근하기 위해서는 환경설정에서 권한을 선언하는 등의 다양한 방법이 있는데 그 중 하나가 broadFileSystemAccess임.
broadFileSystemAccess는 앱이 실행되는 같은 레벨의 파일 시스템에 접근할 수 있게 허용함
<취약점>
'broadFileSystemAccess' API 존재.'broadFileSystemAccess' API 사용자 허가 메시지 창이 뜨지 않아
Universal Windows Platform(UWP) 앱 개발자가 사용자의 OneDrive에 저장돼 있는 문서, 사진, 다운로드, 파일에 접근 가능.
최초 UWP 앱 실행 시 사용자에게 사용 권한을 승인 혹은 거절할 것인지 묻는 메시지가 뜨며, 승인을 허락할 시 사용 목적을 기재해야 하는 등 제한적으로 사용됨.
접근 허용 설정은 환경설정>개인정보>파일시스템에서 설정 가능
<발견경위>
윈도우앱 개발자 Sébastien Lachance는 broadFileSystemAccess 허가 기능을 사용하는 어플리케이션이 Windows10 10월 패치를 실시한 후
크래싱 되는 것을 보고 발견하였으며 10월 패치 이전의 Windows10(1809 이전 버전)은 버그로 인해 위와 같은 접근허용 수락/거절 메시지를 표시하지 않는다고 밝힘.
<영향성>
사용자가 Windows Store에서 다운로드 한 민감한 정보가 노출됨(-> 앱이 사용자의 허가 없이 모든 파일 시스템에 접근이 가능함)
10월 패치 후: broadFileSystemAccess 기능이 디폴트로 'OFF'되어 있기 때문에 broadFileSystemAccess API사용 개발자는 크래싱을 피하기 위해서 모든 UWP앱의 업데이트가 필요함
<대응방안>
10월정기 업데이트를 실시한 사용자는 안전함.
현재 Windows 10월 정기패치는 무작위 파일 삭제 버그로 인해 사용이 불가한 상태로, 10월 정기업데이트를 실시하지 않은 사용자는
수동으로 환경설정>개인정보>파일시스템에서 broadFileSystemAccess 기능을 끌 것을 권고
출처 : https://thehackernews.com/2018/10/windows10-uwp-apps.html
https://www.zdnet.com/article/windows-10-uwp-bug-could-give-malicious-devs-access-to-all-your-files/