资讯
近日,科技巨头微软公布了一项代号为“Dirty Stream”的高危安全缺陷,该问题波及范围广泛,估计影响到数十亿次下载的Android应用,引发了全球用户的高度关注。
据悉,这一漏洞若被恶意利用,将为攻击者敞开大门,让他们能够渗透并操控受影响的应用程序,进而盗取用户的私人数据,包括但不限于个人身份信息、财务记录等敏感资料,加剧了移动平台的安全隐患。
据了解,“Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据,并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施,以防止未经授权的访问。
然而,如果内容提供程序系统没有被正确实现,就会产生漏洞。微软研究人员发现,不当使用“自定义意图”(custom intents,Android 应用组件之间的通信系统)可能会暴露应用的敏感区域。例如,易受攻击的应用可能无法充分检查文件名或路径,从而为恶意应用提供了可乘之机,使其可以将伪装成合法文件的恶意代码混入其中。
攻击者利用“Dirty Stream”漏洞后,可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用,未经授权访问敏感用户数据,或拦截私密登录信息。
微软的研究表明,此漏洞并非个例,研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如,拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。
微软研究人员 Dimitrios Valsamaras 强调了受影响设备数量的庞大,他表示:“我们在 Google Play 商店中发现了多个易受攻击的应用,这些应用的总安装量超过 40 亿次。”
微软已积极分享其发现,并通知可能存在漏洞的应用开发者,并与他们合作部署修复程序。上述两家公司都已迅速承认其软件中存在的问题。
此外,谷歌也采取了措施来防止类似漏洞的出现,其更新了应用安全指南,现在更加强调可利用的常见内容提供程序设计缺陷。
文明上网,理性发言,共同做网络文明传播者