Un bug in Windows 10 permette alle app UWP di accedere all'intero file system

Uno sviluppatore indipendente ha recentemente scoperto che le app Windows 10, quelle disponibili nel Microsoft Store, dette anche applicazioni UWP (Universal Windows Platform), sono in grado di accedere al file system senza bisogno del permesso dell’utente.

Le app per Windows 10 scaricate dal Microsoft Store dovrebbero infatti essere in grado di accedere unicamente ai file e alle cartelle contenuti nella cartella in cui l’applicazione è stata installata così come alle directory di appoggio create all’interno di AppData\Local, AppData\Roaming e nella cartella Temp.
I permessi aggiuntivi richiesti da ogni singola applicazioni devono essere esplicitamente dichiarati nel corrispondente file manifest.

Sébastien Lachance ha scoperto invece che le app UWP di Windows 10 possono accedere a qualunque locazione di memoria e interagire con qualunque dato salvato sul sistema in uso, senza che l’utente debba esprimere alcun consenso.

Come spiega anche la documentazione Microsoft, l’utilizzo del permesso broadFileSystemAccess che consente all’applicazione di accedere a tutte le locazioni di memoria con cui è autorizzato a interagire l’account utente in uso, provoca la comparsa di una schermata attraverso la quale l’utente può esprimere o negare il suo consenso.

Secondo Lachance un bug presente in Windows 10 fa sì che tale schermata autorizzativa non appaia mai.
Con ogni probabilità il problema sarà risolto con il rilascio della versione aggiornata di Windows 10 Aggiornamento di ottobre 2018 che, a questo punto, potrebbe non essere distribuita prima di novembre.