微软发现严重安全漏洞,影响数十亿下载量 Android 应用
微软发现严重安全漏洞,影响数十亿下载量Android应用https://www.ithome.com/0/765/873.htm“DirtyStream”漏洞的核心在于恶意应用可以操纵和滥用Android的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据,并包含严格的数据隔离、特定URI附加权限以及文件路径验证等安全措施,以防止未经授权的访问。然而,如果内容提供程序系统没有被正确实现,就会产生漏洞。微软研究人员发现,不当使用“自定义意图”(customintents,Android应用组件之间的通信系统)可能会暴露应用的敏感区域。例如,易受攻击的应用可能无法充分检查文件名或路径,从而为恶意应用提供了可乘之机,使其可以将伪装成合法文件的恶意代码混入其中。攻击者利用“DirtyStream”漏洞后,可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用,未经授权访问敏感用户数据,或拦截私密登录信息。微软的研究表明,此漏洞并非个例,研究人员发现许多流行的Android应用都存在内容提供程序系统实现不当的问题。例如,拥有超过10亿安装量的小米文件管理器和拥有约5亿安装量的WPSOffice都存在此漏洞。