微软发现一个命名为“Dirty Stream”的严重安全漏洞

5月5日消息,国外媒体报道称,微软近期披露了一个被命名为“Dirty Stream”的重大安全漏洞,该漏洞使得攻击者能够控制应用程序并窃取用户的敏感信息。微软指出,这一问题并非孤立事件,许多广泛使用的Android应用程序普遍存在这类漏洞,包括下载量超过10亿次的小米文件管理器和大约5亿次下载的WPS Office。目前,这两家软件供应商均已确认其产品中存在的安全隐患。

微软的研究团队强调了受影响设备的庞大数量。他们在Google Play商店中发现了一些容易受到攻击的应用程序,这些应用的累计下载量超过了4亿。

所谓的“Dirty Stream”漏洞主要涉及到Android操作系统中的内容提供者机制。该机制通常负责在设备上不同应用程序之间进行安全的数据传输。虽然该系统具备严格的数据隔离、特定URI(统一资源标识符)附加权限以及文件路径验证等安全措施,用以防止未授权访问,但微软的研究人员发现,如果开发者错误地使用了自定义意图(即Android应用组件间通信的消息传递系统),可能会导致应用程序的敏感部分暴露给攻击者。

例如,那些容易受到攻击的应用程序可能没有充分验证文件名或路径,这就为恶意应用创造了机会,使其能够将伪装成合法文件的恶意代码注入其中。

给TA打赏
共{{data.count}}人
人已打赏
在线客服
主机帮
我们将24小时内回复。
2024-11-04 20:11:26
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[QQ客服]
176363189
当幸福来敲门
[小黄]
17307799197
[企业邮箱]
sudu@yunjiasu.cc
取消

选择聊天工具: