5月5日消息,国外媒体报道称,微软近期披露了一个被命名为“Dirty Stream”的重大安全漏洞,该漏洞使得攻击者能够控制应用程序并窃取用户的敏感信息。微软指出,这一问题并非孤立事件,许多广泛使用的Android应用程序普遍存在这类漏洞,包括下载量超过10亿次的小米文件管理器和大约5亿次下载的WPS Office。目前,这两家软件供应商均已确认其产品中存在的安全隐患。
微软的研究团队强调了受影响设备的庞大数量。他们在Google Play商店中发现了一些容易受到攻击的应用程序,这些应用的累计下载量超过了4亿。
所谓的“Dirty Stream”漏洞主要涉及到Android操作系统中的内容提供者机制。该机制通常负责在设备上不同应用程序之间进行安全的数据传输。虽然该系统具备严格的数据隔离、特定URI(统一资源标识符)附加权限以及文件路径验证等安全措施,用以防止未授权访问,但微软的研究人员发现,如果开发者错误地使用了自定义意图(即Android应用组件间通信的消息传递系统),可能会导致应用程序的敏感部分暴露给攻击者。
例如,那些容易受到攻击的应用程序可能没有充分验证文件名或路径,这就为恶意应用创造了机会,使其能够将伪装成合法文件的恶意代码注入其中。
