微软揭露严重安全漏洞“Dirty Stream”
近日,微软披露了一个名为“Dirty Stream”的严重安全漏洞。该漏洞可能允许攻击者控制应用程序并窃取敏感用户信息。
微软的研究表明,许多流行的 Android 应用程序都普遍存在这一问题,包括安装量超过 10 亿次的小米文件管理器和安装量约 5 亿次的 WPS Office。
上述两家厂商已确认其软件中的漏洞问题。
微软研究人员强调,受影响的设备数量庞大:“我们在 Google Play 商店中发现了几个易受攻击的应用程序,总安装量超过 40 亿次。”
根据研究,Dirty Stream 漏洞的核心在于恶意应用程序可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用程序之间安全地交换数据。
该系统包含严格的数据隔离、特定 URI 权限和文件路径验证等安全措施,以防止未经授权的访问。
然而,微软研究人员发现,不正确地使用自定义意图(允许 Android 应用程序组件进行通信的消息传递系统)可能会暴露应用程序的敏感区域。
例如,易受攻击的应用程序可能无法充分检查文件名或路径,从而为恶意应用程序提供了机会,使其可以将伪装成合法文件的恶意代码混入其中。