微软发现严重安全漏洞,影响数十亿下载量 Android 应用
创始人
2024-05-05 16:41:14
0

原标题:微软发现严重安全漏洞,影响数十亿下载量 Android 应用

据AndroidAuthority 报道,微软近日披露了一个名为“Dirty Stream”的严重安全漏洞,该漏洞可能影响到数十亿下载量的 Android 应用。攻击者一旦利用此漏洞,便有可能控制应用并窃取用户敏感信息。

据IT之家了解,“Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据,并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施,以防止未经授权的访问。

然而,如果内容提供程序系统没有被正确实现,就会产生漏洞。微软研究人员发现,不当使用“自定义意图”(custom intents,Android 应用组件之间的通信系统)可能会暴露应用的敏感区域。例如,易受攻击的应用可能无法充分检查文件名或路径,从而为恶意应用提供了可乘之机,使其可以将伪装成合法文件的恶意代码混入其中。

攻击者利用“Dirty Stream”漏洞后,可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用,未经授权访问敏感用户数据,或拦截私密登录信息。

微软的研究表明,此漏洞并非个例,研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如,拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。

微软研究人员 Dimitrios Valsamaras 强调了受影响设备数量的庞大,他表示:“我们在 Google Play 商店中发现了多个易受攻击的应用,这些应用的总安装量超过 40 亿次。”

微软已积极分享其发现,并通知可能存在漏洞的应用开发者,并与他们合作部署修复程序。上述两家公司都已迅速承认其软件中存在的问题。

此外,谷歌也采取了措施来防止类似漏洞的出现,其更新了应用安全指南,现在更加强调可利用的常见内容提供程序设计缺陷。

来源:IT之家

相关内容

热门资讯

可灵AI将推出可图2.1新模型... 近日,可灵AI举办“灵感工坊”上海站创作者沙龙活动,可灵AI创作者及技术爱好者汇聚一堂,共同分享创作...
英威腾电气申请光伏水泵重启相关... 金融界2025年7月9日消息,国家知识产权局信息显示,长沙市英威腾电气技术有限公司申请一项名为“光伏...
干部出轨他人妻子此前为何不处理 7月9日晚,湖南湘潭县联合调查组发布情况通报:7月8日晚,网上反映湘潭县市场监督管理局执法大队队长肖...
原创 埃... 最近,埃及军方的高层官员揭示了当年决定取消购买苏-35战斗机的真实原因,表明这不仅仅是由于美国的外交...
IP69K到底是什么?荣耀X7... 今天(7月10日),荣耀官方再度“剧透”即将于7月15日发布的新机荣耀X70,确认其将支持IP66、...
web前端开发入门教程 在数字化浪潮席卷的今天,Web前端开发如同一座桥梁,连接着创意与现实,让无数想法在互联网上绽放光彩。...
一粒种子,千万梦想:"... 【环球网科技报道 记者 林梦雪】“我们发现榆中校区午后PM2.5浓度比清晨高12%!”,手持移动监测...
品高股份:携手江原科技发布“品... 7月9日,品高股份(688227)联合深圳江原科技有限公司在深圳联合举办新品发布会,推出搭载全国产江...
英伟达成为首家市值达到4万亿美... 英伟达股价达到一个里程碑,成为首家市值突破4万亿美元的公司。 7月9日,这家人工智能计算AI公司股价...
国行三星新Galaxy Z系列... 讯 7月10日,火山引擎公众号发文宣布,新Galaxy Z系列引入了豆包大模型、火山引擎联网问答Ag...