微軟發(fā)現(xiàn)嚴(yán)重安全漏洞，影響數(shù)十億下載量 Android 應(yīng)用

IT之家 5 月 5 日消息，據(jù) AndroidAuthority 報(bào)道，微軟近日披露了一個(gè)名為“Dirty Stream”的嚴(yán)重安全漏洞，該漏洞可能影響到數(shù)十億下載量的 Android 應(yīng)用。攻擊者一旦利用此漏洞，便有可能控制應(yīng)用并竊取用戶敏感信息。

據(jù)IT之家了解，“Dirty Stream”漏洞的核心在于惡意應(yīng)用可以操縱和濫用 Android 的內(nèi)容提供程序系統(tǒng)。該系統(tǒng)通常用于設(shè)備上不同應(yīng)用之間安全地交換數(shù)據(jù)，并包含嚴(yán)格的數(shù)據(jù)隔離、特定 URI 附加權(quán)限以及文件路徑驗(yàn)證等安全措施，以防止未經(jīng)授權(quán)的訪問。

然而，如果內(nèi)容提供程序系統(tǒng)沒有被正確實(shí)現(xiàn)，就會(huì)產(chǎn)生漏洞。微軟研究人員發(fā)現(xiàn)，不當(dāng)使用“自定義意圖”（custom intents，Android 應(yīng)用組件之間的通信系統(tǒng)）可能會(huì)暴露應(yīng)用的敏感區(qū)域。例如，易受攻擊的應(yīng)用可能無法充分檢查文件名或路徑，從而為惡意應(yīng)用提供了可乘之機(jī)，使其可以將偽裝成合法文件的惡意代碼混入其中。

攻擊者利用“Dirty Stream”漏洞后，可以誘騙易受攻擊的應(yīng)用覆蓋其私有存儲(chǔ)空間中的關(guān)鍵文件。這種攻擊可能使得攻擊者完全控制應(yīng)用，未經(jīng)授權(quán)訪問敏感用戶數(shù)據(jù)，或攔截私密登錄信息。

微軟的研究表明，此漏洞并非個(gè)例，研究人員發(fā)現(xiàn)許多流行的 Android 應(yīng)用都存在內(nèi)容提供程序系統(tǒng)實(shí)現(xiàn)不當(dāng)?shù)膯栴}，例如擁有超過 10 億安裝量的小米文件管理器。

微軟研究人員 Dimitrios Valsamaras 強(qiáng)調(diào)了受影響設(shè)備數(shù)量的龐大，他表示：“我們?cè)?Google Play 商店中發(fā)現(xiàn)了多個(gè)易受攻擊的應(yīng)用，這些應(yīng)用的總安裝量超過 40 億次?！?/p>

微軟已積極分享其發(fā)現(xiàn)，并通知可能存在漏洞的應(yīng)用開發(fā)者，并與他們合作部署修復(fù)程序。上述兩家公司都已迅速承認(rèn)其軟件中存在的問題。

此外，谷歌也采取了措施來防止類似漏洞的出現(xiàn)，其更新了應(yīng)用安全指南，現(xiàn)在更加強(qiáng)調(diào)可利用的常見內(nèi)容提供程序設(shè)計(jì)缺陷。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。