ITCOW牛新网 5月6日消息,微软公司近期揭露了一个严重的安全漏洞“Dirty Stream”,该漏洞可能对广泛使用的Android应用构成威胁。据AndroidAuthority报道,这一漏洞的存在可能使得攻击者得以控制应用并窃取用户的敏感信息。
“Dirty Stream”漏洞主要影响Android的内容提供程序系统,该系统本应用于不同应用间安全地交换数据。正常情况下,该系统具备数据隔离、权限控制和文件路径验证等安全特性,用以防止未授权访问。然而,微软的研究人员发现,如果内容提供程序系统实现不当,恶意应用便可能通过滥用“自定义意图”来绕过这些安全措施,访问应用的敏感区域。 利用这一漏洞,攻击者可以诱导受影响的应用覆盖其私有存储区中的关键文件,从而完全控制该应用,访问敏感用户数据,或截取私密登录信息。
微软的研究表明,这一安全问题并非孤立现象,他们发现包括小米文件管理器和WPS Office在内的多个流行应用都存在这一漏洞,这些应用的安装量加起来超过15亿次。 微软研究人员Dimitrios Valsamaras指出,他们在Google Play商店中发现多个易受攻击的应用,总安装量超过40亿次。
微软已经积极地与可能受影响的应用开发者沟通,并协助他们部署修复措施。谷歌也更新了其应用安全指南,以减少未来出现类似漏洞的风险。