最近,微软发现了一项名为“Dirty Stream”的严重安全漏洞,该漏洞允许黑客控制Android应用程序并窃取用户信息。根据国外媒体报道,这个安全缺陷影响了多个广泛使用的Android应用,包括安装量超过10亿次的小米文件管理器和约5亿次安装的WPS Office。
这两家公司已经确认了各自软件中的安全问题,并正在进行修复。微软的研究人员在Google Play商店中发现了多个受此漏洞影响的应用,总安装量超过40亿次。
“Dirty Stream”漏洞主要涉及Android的内容提供程序系统,该系统用于安全地在不同应用间交换数据。尽管该系统具有数据隔离、特定URI附加权限和文件路径验证等安全措施,但研究人员发现,如果应用程序不正确地使用自定义意图(一种允许应用组件间通信的系统),就可能暴露敏感区域。
例如,受影响的应用可能未能适当检查文件名或路径,允许恶意应用插入伪装成合法文件的恶意代码,从而突破安全屏障。
