Android 上的應用程式通訊系統中發現了一個安全漏洞。微軟警告稱,該漏洞允許惡意應用程式竊取資料並控制合法應用程式。這家美國出版商透露,數十億部智慧型手機受到影響。
微軟在多個流行的 Android 應用程式的運行中發現了一個漏洞。該安全漏洞被研究人員稱為“髒流”,允許惡意應用程式聯繫和捕獲某些應用程式合法的。
Android 應用程式通訊方式有缺陷
網路攻擊依賴 Android 的內容供應商,這是一個關鍵元件,可作為中介並促進不同應用程式和服務之間資料的安全共享和存取。該組件包括權限系統。如果配置不當,這些權限將允許您繞過作業系統的安全機制。正如微軟所解釋的,“執行不力”來自供應商“可能會引入漏洞,允許繞過應用程式主目錄中的讀取/寫入限制”。
具體來說,該缺陷允許惡意應用程式將具有被操縱的名稱或路徑的檔案傳輸到另一個應用程式。目標應用程式接收檔案並信任誤導性的名稱或路徑。然後它會執行惡意檔案或將其儲存在關鍵目錄中。
微軟報告漏洞導致攻擊者“覆蓋易受攻擊的應用程式主目錄中的檔案”。完成此操作後,惡意應用程式就能夠任意執行程式碼並得到“完全控制應用程式的行為”。此外,駭客還可以授予自己“存取用戶帳戶和敏感資料”儲存在智慧型手機上。
哪些 Android 應用程式受到 Dirty Stream 的影響?
Microsoft 已發現 Play 商店中的多個應用程式容易受到「髒流」攻擊。這些應用結合了超過 40 億安裝量。受影響的應用程式包括小米的文件管理器「文件管理器」和中國金山公司設計的辦公室套件 WPS Office。接到微軟警報後,小米和金山軟體已部署修補程式。
在微軟看來,“漏洞模型”「髒流」的程式碼可能最終會出現在其他幾個 Android 應用程式的程式碼中。這就是為什麼美國團體鼓勵“開發者和發行商檢查他們的應用程式是否存在類似問題”。
谷歌審查其指導方針
作為回應,Google更新了針對 Android 應用程式開發人員的安全指南。這些指南旨在防止漏洞的出現在Android應用程式內容提供者的運作中。它們直接基於微軟研究人員的研究結果。
谷歌特別推薦“忽略檔案名稱”由通訊應用程式提供和“使用自己內部產生的唯一識別碼作為檔案名稱”。這種預防措施切斷了可能的攻擊者腳下的距離。對微軟來說,最好的解決方案仍然是選擇“隨機生成的名稱,因此即使傳入流的內容格式錯誤,也不會損壞應用程式”。
來源 : 微軟
