微软发现严重安全漏洞，影响数十亿下载量 Android 应用

图片地址：https://img.ithome.com/newsuploadfiles/2024/5/638b1c5e-afd5-4e94-8a45-7698e550e742.jpg?x-bce-process=image/format,f_auto

IT之家 5 月 5 日消息，据 AndroidAuthority 报道，微软近日披露了一个名为“Dirty Stream”的严重安全漏洞，该漏洞可能影响到数十亿下载量的 Android 应用。攻击者一旦利用此漏洞，便有可能控制应用并窃取用户敏感信息。据IT之家了解，“Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施，以防止未经授权的访问。然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（custom intents，Android 应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。攻击者利用