快科技5月5日消息,據國外媒體報道,近日微軟披露一個名為Dirty Stream”的嚴重安全漏洞,攻擊者可利用此漏洞控制應用程序並竊取有價值的用戶信息。
微軟的研究表明,這個漏洞並不是個例,許多流行的Android應用程序普遍存在這一問題,例如安裝量超過10億次的小米文件管理器和安裝量約5億次的WPS Office。
目前上述兩個廠商已經及時確認其軟件中存在的問題。
微軟研究員強調面臨風險的設備數量驚人:我們在Google Play商店中發現幾個易受攻擊的應用程序,這些應用的總安裝量超過40億。”
根據介紹,Dirty Stream”漏洞的核心在於惡意應用可以操縱和濫用Android的內容提供程序系統,該系統通常用於設備上不同應用程序之間的安全數據交換。
同時該系統還包含嚴格的數據隔離、特定URI(統一資源標識符)附加權限以及文件路徑驗證等安全措施,以防止未經授權的訪問。
然而微軟研究人員發現,不正確地使用自定義意圖”(允許Android應用組件進行通信的消息傳遞系統)可能會暴露應用的敏感區域。
例如易受攻擊的應用可能無法充分檢查文件名或路徑,從而為惡意應用提供可乘之機,使其可以將偽裝成合法文件的惡意代碼混入其中。