Dirty Stream漏洞！数亿安卓应用遭攻击者入侵

2024-05-05 16:01:39 作者：姚立伟

近日，微软披露了一项名为“Dirty Stream”的安全漏洞，该漏洞可能影响到数十亿下载量的Android应用。攻击者一旦利用此漏洞，便有可能控制应用并窃取用户敏感信息。

据了解，“ Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施，以防止未经授权的访问。

然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（custom intents，Android 应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，在易受攻击的应用中，开发者可能无法充分检查文件名或路径，从而为恶意代码提供了可乘之机。

当攻击者利用“Dirty Stream”漏洞后，他们可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能导致攻击者完全控制应用，并未经授权访问敏感用户数据或者拦截私密登录信息。

值得注意的是，微软的研究表明，此漏洞并非个例。研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如，拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。

针对这一问题，微软已经积极分享其发现，并通知可能存在漏洞的应用开发者，并与他们合作部署修复程序。而上述两家公司也已经迅速承认其软件中存在的问题。

此外，谷歌也采取了措施来防止类似漏洞的出现，其更新了应用安全指南，并更加强调了可利用的常见内容提供程序设计缺陷。