微软发现严重安全漏洞,影响数十亿下载量 Android 应用
创始人
2024-05-05 16:41:14
0

原标题:微软发现严重安全漏洞,影响数十亿下载量 Android 应用

据AndroidAuthority 报道,微软近日披露了一个名为“Dirty Stream”的严重安全漏洞,该漏洞可能影响到数十亿下载量的 Android 应用。攻击者一旦利用此漏洞,便有可能控制应用并窃取用户敏感信息。

据IT之家了解,“Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据,并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施,以防止未经授权的访问。

然而,如果内容提供程序系统没有被正确实现,就会产生漏洞。微软研究人员发现,不当使用“自定义意图”(custom intents,Android 应用组件之间的通信系统)可能会暴露应用的敏感区域。例如,易受攻击的应用可能无法充分检查文件名或路径,从而为恶意应用提供了可乘之机,使其可以将伪装成合法文件的恶意代码混入其中。

攻击者利用“Dirty Stream”漏洞后,可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用,未经授权访问敏感用户数据,或拦截私密登录信息。

微软的研究表明,此漏洞并非个例,研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如,拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。

微软研究人员 Dimitrios Valsamaras 强调了受影响设备数量的庞大,他表示:“我们在 Google Play 商店中发现了多个易受攻击的应用,这些应用的总安装量超过 40 亿次。”

微软已积极分享其发现,并通知可能存在漏洞的应用开发者,并与他们合作部署修复程序。上述两家公司都已迅速承认其软件中存在的问题。

此外,谷歌也采取了措施来防止类似漏洞的出现,其更新了应用安全指南,现在更加强调可利用的常见内容提供程序设计缺陷。

来源:IT之家

相关内容

热门资讯

智元机器人坦白现金流状况,智元... 来源:@究竟视频微博 【#智元机器人坦白现金流状况#,#智元透露未来3年将投入数十亿元#】在独立商城...
让数据“会思考”:启信慧眼迈向... 2025-08-22 17:05:30 作者:狼叫兽 在数智化浪潮席卷全球的当下,商业查询行业正经...
大一开学在即,团组织关系如何转... “智慧团建”系统 毕业学生团员组织关系转接工作指引 一、目的 本《指引》用于指导各级团组织、毕业学生...
“技能照亮前程”!2025《技... 由广东省人力资源和社会保障厅与广东广播电视台联合打造的全国首档技能人才主题融媒体节目2025《技行天...
免布线、免调试、解决运维难题:... 在能源管理日益精细化、数字化的今天,物联网仪表成为推动各行业能效提升的关键力量。ADW300 物联网...
郧县锦宏路桥取得混凝土试块振动... 金融界2025年8月22日消息,国家知识产权局信息显示,郧县锦宏路桥工程有限责任公司取得一项名为“混...
新闻发布|AI+新材料产业,第... 新博会作为新材料领域的国际性展会,一直以来备受各方关注。本届博览会主题为“数智驱动、向新笃行”,请问...
两岸同胞共忆历史 同心共筑家国... 中国台湾网8月22日讯 近日,周口市台办、南阳市社旗县台办分别组织台胞台属观看爱国电影《南京照相馆》...
第二十届服务系统与服务管理国际... 2025年8月8日至8月10日,第二十届服务系统与服务管理国际学术会议(The 20th Inter...
山东企业:“链式生长”三重密码... 【山东“链式生长”密码助力产业升级与品牌跃迁】在青岛港自动化码头,海尔卡奥斯工业互联网平台作为“产业...