{"id":210996,"date":"2018-10-26T00:45:06","date_gmt":"2018-10-25T22:45:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=210996"},"modified":"2018-12-19T12:49:25","modified_gmt":"2018-12-19T11:49:25","slug":"bug-in-uwp-api-ermglicht-nutzerdaten-abzugreifen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/10\/26\/bug-in-uwp-api-ermglicht-nutzerdaten-abzugreifen\/","title":{"rendered":"Win 10: Bug in UWP-API ermöglicht Nutzerdaten abzugreifen"},"content":{"rendered":"

[English<\/a>]Es gibt die Diskussion dar\u00fcber, dass eine Designschw\u00e4che (ein Bug) in der Universal Windows Platform-API es UWP-App-Entwicklern erm\u00f6glicht, auf beliebige Nutzerdaten zuzugreifen. In Windows 10 V1809 hat Microsoft versucht, den Bug abzuschw\u00e4chen \u2013 aber dann st\u00fcrzen UWP-Apps ab.<\/p>\n

<\/p>\n

Dem App-Entwickler und MVP S\u00e9bastien Lachance ist k\u00fcrzlich aufgefallen, dass UWP-Apps auf das gesamte Dateisystem zugreifen k\u00f6nnen. D.h. die App ist nicht darauf beschr\u00e4nkt, das der Zugriff auf Dateien und Ordner \u00fcber einen Datei-Picker oder LocalStorage <\/em>beschr\u00e4nkt ist. Microsoft hat die zul\u00e4ssigen Zugriffe auf das Dateisystem in diesem Dokument<\/a> (broadFileSystemAccess API) beschrieben. In der Dokumentation hei\u00dft es auch: \"Bei der ersten Benutzung fordert das System den Benutzer auf, den Zugriff zu erlauben\". Es sind von Microsoft als (theoretisch) Sicherungsma\u00dfnahmen f\u00fcr den Zugriff vorgesehen, die unberechtigte Zugriffsversuche abfangen. Ohne Nutzerzugriff kann eine UWP-App nicht auf Dateien zugreifen, ohne dass der Benutzer dem zugestimmt hat \u2013 zumindest theoretisch \u2026<\/p>\n

Die UWP-App fragt bis Windows 10 V1803 nicht nach<\/h2>\n

Als Lachance dann in einer UWP-App ein Feature zum Zugriff auf lokale Dateien implementierte, stellte er fest, dass sein fest implementierter Pfad \"C:\\myAppData\" keine Nachfrage von Windows, ob der Zugriff zul\u00e4ssig sei, provozierte. An diesem Punkt l\u00e4sst sich also feststellen, dass die Microsoft-Dokumentation nicht stimmt, sondern genau das Gegenteil behauptet. Es w\u00e4re also bis Windows 10 V1803 m\u00f6glich, per UWP-App auf das Dateisystem zuzugreifen und Informationen abzurufen.<\/p>\n

Die UWP-App st\u00fcrzt ab Windows 10 V1809 pl\u00f6tzlich ab<\/h2>\n

Als er dann die App unter Windows 10 V1809, das zur\u00fcckgezogene Oktober 2018 Update, testete, st\u00fcrzte diese pl\u00f6tzlich bereits beim Start ab, wie er hier<\/a> schreibt. Er hat dann herausgefunden, dass der Zugriff auf die Datei im oben angegebenen Pfad den Absturz der App verursachte.<\/p>\n

So etwas ist nat\u00fcrlich f\u00fcr einen App-Entwickler t\u00f6dlich \u2013 er schnitzt eine App und nach einem Feature-Update l\u00e4uft diese nicht mehr. Zuerst dachte er, dass das Manifest der UWP-App ge\u00e4ndert wurde, und der Absturz deshalb passierte. Also hat er seine Ansprechpartner bei Microsoft kontaktiert.<\/p>\n

Tricky L\u00f6sung unter Windows 10 V1809<\/h2>\n

Diese haben ihm dann zwei wichtige Informationen in Bezug auf Dateizugriffe bei UWP-Apps best\u00e4tigt.<\/p>\n