近日微軟披露一個名為“DirtyStream”的嚴重安全漏洞,攻擊者可利用此漏洞控制應用程序並竊取有價值的用戶信息。微軟的研究表明,這個漏洞並不是個例,許多流行的Android應用程序普遍存在這一問題,例如安裝量超過10億次的小米文件管理器和安裝量約5億次的WPSOffice。
目前上述兩個廠商已經及時確認其軟件中存在的問題。
微軟研究員強調面臨風險的設備數量驚人:“我們在Google Play商店中發現幾個易受攻擊的應用程序,這些應用的總安裝量超過40億。”
根據介紹,“Dirty Stream”漏洞的核心在於惡意應用可以操縱和濫用Android的內容提供程序系統,該系統通常用於設備上不同應用程序之間的安全數據交換。
同時該系統還包含嚴格的數據隔離、特定URI(統一資源標識符)附加權限以及文件路徑驗證等安全措施,以防止未經授權的訪問。
然而微軟研究人員發現,不正確地使用“自定義意圖”(允許Android應用組件進行通信的消息傳遞系統)可能會暴露應用的敏感區域。
例如易受攻擊的應用可能無法充分檢查文件名或路徑,從而為惡意應用提供可乘之機,使其可以將偽裝成合法文件的惡意代碼混入其中。
解更多:
https://www.microsoft.com/en-us/security/blog/2024/05/01/dirty-stream-attack-discovering-and-mitigating-a-common-vulnerability-pattern-in-android-apps/