微软发现严重安全漏洞,影响数十亿下载量 Android 应用
创始人
2024-05-05 16:41:14
0

原标题:微软发现严重安全漏洞,影响数十亿下载量 Android 应用

据AndroidAuthority 报道,微软近日披露了一个名为“Dirty Stream”的严重安全漏洞,该漏洞可能影响到数十亿下载量的 Android 应用。攻击者一旦利用此漏洞,便有可能控制应用并窃取用户敏感信息。

据IT之家了解,“Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据,并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施,以防止未经授权的访问。

然而,如果内容提供程序系统没有被正确实现,就会产生漏洞。微软研究人员发现,不当使用“自定义意图”(custom intents,Android 应用组件之间的通信系统)可能会暴露应用的敏感区域。例如,易受攻击的应用可能无法充分检查文件名或路径,从而为恶意应用提供了可乘之机,使其可以将伪装成合法文件的恶意代码混入其中。

攻击者利用“Dirty Stream”漏洞后,可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用,未经授权访问敏感用户数据,或拦截私密登录信息。

微软的研究表明,此漏洞并非个例,研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如,拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。

微软研究人员 Dimitrios Valsamaras 强调了受影响设备数量的庞大,他表示:“我们在 Google Play 商店中发现了多个易受攻击的应用,这些应用的总安装量超过 40 亿次。”

微软已积极分享其发现,并通知可能存在漏洞的应用开发者,并与他们合作部署修复程序。上述两家公司都已迅速承认其软件中存在的问题。

此外,谷歌也采取了措施来防止类似漏洞的出现,其更新了应用安全指南,现在更加强调可利用的常见内容提供程序设计缺陷。

来源:IT之家

相关内容

热门资讯

科普|确诊直肠癌后,为何还要做... 很多直肠癌患者在拿到病理结果后,心里还没有完全缓过来,又听到医生说:“还需要做一个直肠磁共振。”这时...
新基建扩容,发令枪已响 看广东... 羊城晚报全媒体记者 孙晶 在万众瞩目的世界人工智能大会启幕前夕,工信部、中央网信办、国家发改委、国家...
“四证齐全”却飞不动? 亿航智... 来源:每日经济新闻 几天前,有市场消息称,“eVTOL第一股”亿航智能(NASDAQ:EH,以下简称...
遇到航班超售,如何保障权益 遇到航班超售,如何保障权益 暑期出行高峰将至,航班超售现象再次进入公众视野。 航班超售是指航空公司为...
年轻人为何对饮料“有瘾” 消费者在超市饮品区选购饮料。 □本报全媒体记者 张逸菲 文/图 6月22日,河南省儿童医院,一名15...
气象台不敢报40℃?预报气温为... 7月15日,武汉入伏。 去年7月16日,武汉市气象台发出首个高温红色预警:大部分地区39℃~40℃,...
山东商业航天领域奖补政策如何申... 商业航天是新质生产力的典型代表,火箭腾空的轰鸣与卫星组网的智慧,见证着中国商业航天从跟跑到并跑的时代...
美股收评:三大指数小幅上涨,中... 7月16日消息,美股三大指数集体收涨,道指涨0.29%,纳指涨0.62%,标普500指数涨0.38%...
《教父》:如果贵人帮了你的忙,... 《教父》:如果贵人帮了你的忙,你千万不要以请吃饭来报答,这样会把贵人越推越远,社交的本质是交换,但不...