【ITBEAR科技资讯】5月5日消息,微软最近向公众披露了一个名为“Dirty Stream”的严重安全漏洞,据称该漏洞可能威胁到数十亿下载量的Android应用。若攻击者利用此漏洞,将有机会掌控相关应用并窃取用户的敏感信息。
“Dirty Stream”漏洞问题的核心,在于恶意应用有可能操控并滥用Android的内容提供程序系统。该系统原本的设计初衷,是在设备上的不同应用之间实现数据的安全交换,它包含了数据隔离、特定URI附加权限以及文件路径验证等多重安全防护措施,旨在防止任何未经许可的访问。
然而,微软的研究人员指出,如果内容提供程序系统未能得到正确的实施,就可能会产生安全漏洞。他们发现,不恰当的使用“自定义意图”(custom intents)——这一Android应用组件间的通信系统——可能会使应用的敏感区域暴露无遗。举个例子来说,那些防范不严的应用可能会疏于对文件名或路径的充分检查,这就给恶意应用留下了可乘之机,它们可以趁机将伪装成合法文件的恶意代码注入其中。
据ITBEAR科技资讯了解,一旦攻击者成功利用了“Dirty Stream”漏洞,他们就能诱骗那些易受攻击的应用去覆盖其私有存储空间里的关键文件。这样的攻击手段可能会让攻击者完全控制住应用,进而未经许可地访问用户的敏感数据,甚至拦截私密的登录信息。
微软的研究还进一步揭示,这一漏洞并非孤例。研究人员在多款热门的Android应用中,都发现了内容提供程序系统实现不当的情况。比如安装量超过10亿的小米文件管理器和安装量约5亿的WPS Office,都受到了这一漏洞的影响。
微软的研究人员Dimitrios Valsamaras特别强调了受漏洞影响设备数量的庞大。他表示:“我们在Google Play商店中发现了许多易受攻击的应用,这些应用的总安装量已经超过了40亿次。”
面对这一严峻的安全问题,微软已经积极地分享了他们的发现,并通知了那些可能存在漏洞的应用开发者,与他们紧密合作以部署修复程序。目前,上述存在问题的两家公司都已经迅速承认了软件中存在的问题,并着手进行修复。
除此之外,谷歌也采取了相应的措施来预防类似漏洞的出现。他们更新了应用安全指南,现在更加强调了那些常见的、可能被利用的内容提供程序设计缺陷。这一系列的举措,无疑将为Android用户的数据安全提供更加坚实的保障。
