微软发现一个命名为“Dirty Stream”的严重安全漏洞

5月5日消息,国外媒体报道称,微软近期披露了一个被命名为“Dirty Stream”的重大安全漏洞,该漏洞使得攻击者能够控制应用程序并窃取用户的敏感信息。微软指出,这一问题并非孤立事件,许多广泛使用的Android应用程序普遍存在这类漏洞,包括下载量超过10亿次的小米文件管理器和大约5亿次下载的WPS Office。目前,这两家软件供应商均已确认其产品中存在的安全隐患。

微软的研究团队强调了受影响设备的庞大数量。他们在Google Play商店中发现了一些容易受到攻击的应用程序,这些应用的累计下载量超过了4亿。

所谓的“Dirty Stream”漏洞主要涉及到Android操作系统中的内容提供者机制。该机制通常负责在设备上不同应用程序之间进行安全的数据传输。虽然该系统具备严格的数据隔离、特定URI(统一资源标识符)附加权限以及文件路径验证等安全措施,用以防止未授权访问,但微软的研究人员发现,如果开发者错误地使用了自定义意图(即Android应用组件间通信的消息传递系统),可能会导致应用程序的敏感部分暴露给攻击者。

例如,那些容易受到攻击的应用程序可能没有充分验证文件名或路径,这就为恶意应用创造了机会,使其能够将伪装成合法文件的恶意代码注入其中。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
个人中心
购物车
优惠劵
搜索