微软揭露严重安全漏洞“Dirty Stream”

近日，微软披露了一个名为“Dirty Stream”的严重安全漏洞。该漏洞可能允许攻击者控制应用程序并窃取敏感用户信息。

微软的研究表明，许多流行的 Android 应用程序都普遍存在这一问题，包括安装量超过 10 亿次的小米文件管理器和安装量约 5 亿次的 WPS Office。

上述两家厂商已确认其软件中的漏洞问题。

微软研究人员强调，受影响的设备数量庞大：“我们在 Google Play 商店中发现了几个易受攻击的应用程序，总安装量超过 40 亿次。”

根据研究，Dirty Stream 漏洞的核心在于恶意应用程序可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用程序之间安全地交换数据。

该系统包含严格的数据隔离、特定 URI 权限和文件路径验证等安全措施，以防止未经授权的访问。

然而，微软研究人员发现，不正确地使用自定义意图（允许 Android 应用程序组件进行通信的消息传递系统）可能会暴露应用程序的敏感区域。

例如，易受攻击的应用程序可能无法充分检查文件名或路径，从而为恶意应用程序提供了机会，使其可以将伪装成合法文件的恶意代码混入其中。

（举报）