近日，有外国媒体爆料称微软的Windows 10系统的UWP API存在一个漏洞，恶意开发者可以任意访问用户硬盘并窃取数据。

我们先来科普一下UWP，UWP（Universal Windows Platform简称），是Windows 10之后才有的通用应用平台，可以在Windows 10 Mobile/Surface（Windows平板电脑）/PC/Xbox/HoloLens等平台上运行，UWP不同于传统PC上的exe应用，也跟只适用于手机端的app有本质区别。它并不是为某一个终端而设计，可以在所有windows10设备上运行。UWP应用程序是在沙盒中运行，被限制在自己的特定的目录和文件夹中，因此更安全。

微软UWP API接口存在的漏洞：

原本为方便UWP应用程序读取其他位置的文件微软为开发者提供现成的接口，开发者只需要调用该接口即可。正常情况下初次调用该接口时UWP类应用会弹出对话框请求用户允许，也必须用户允许后应用才可访问数据。然而研究人员发现该接口存在致命漏洞，恶意的UWP开发者可利用该漏洞绕过用户权限请求无限制访问文件。尽管该漏洞并不会导致UWP开发者可以安插其他木马病毒，但显然如果别有用心的话则可以窃取机密文件等。

微软在V1809版中已经修复：

目前微软已经确认该漏洞的存在并称：已经在Windows 10 Version 1809版中调整API 接口对漏洞进行封堵。然而旧版本的Windows 10目前仍然未对该漏洞进行修复，所幸UWP应用上架时还需要微软进行审核才可以。但现在微软对于应用商店的审核工作其实漏洞频出，例如有开发者冒充谷歌发布UWP版的谷歌相册都被通过。所以指望微软人工审核来提高安全性其实也是个问题，现在也并不清楚是否有恶意UWP应用已经利用该漏洞。

访问：

微软Win10原版镜像        免激活Win10纯净版