Android 上的应用程序通信系统中发现了一个安全漏洞。微软警告称,该漏洞允许恶意应用程序窃取数据并控制合法应用程序。这家美国出版商透露,数十亿部智能手机受到影响。
微软在多个流行的 Android 应用程序的运行中发现了一个漏洞。该安全漏洞被研究人员称为“脏流”,允许恶意应用程序联系和捕获某些应用程序合法的。
Android 应用程序通信方式存在缺陷
网络攻击依赖于 Android 的内容提供商,这是一个关键组件,充当中介并促进不同应用程序和服务之间数据的安全共享和访问。该组件包括权限系统。如果配置不当,这些权限将允许您绕过操作系统的安全机制。正如微软所解释的,“执行不力”来自供应商“可能会引入漏洞,允许绕过应用程序主目录中的读/写限制”。
具体来说,该缺陷允许恶意应用程序将具有被操纵的名称或路径的文件传输到另一个应用程序。目标应用程序接收文件并信任误导性的名称或路径。然后它会执行恶意文件或将其存储在关键目录中。
微软报告称漏洞导致攻击者“覆盖易受攻击的应用程序主目录中的文件”。完成此操作后,恶意应用程序就能够任意执行代码并得到“完全控制应用程序的行为”。此外,黑客还可以授予自己“访问用户帐户和敏感数据”存储在智能手机上。
哪些 Android 应用程序受到 Dirty Stream 的影响?
Microsoft 已发现 Play 商店中的多个应用程序容易受到“脏流”攻击。这些应用结合了超过 40 亿安装量。受影响的应用程序包括小米的文件管理器“文件管理器”和中国金山公司设计的办公套件 WPS Office。接到微软警报后,小米和金山软件已部署补丁。
在微软看来,“漏洞模型”“脏流”的代码可能最终会出现在其他几个 Android 应用程序的代码中。这就是为什么美国团体鼓励“开发者和发行商检查他们的应用程序是否存在类似问题”。
谷歌审查其指导方针
作为回应,谷歌更新了针对 Android 应用程序开发人员的安全指南。这些指南旨在防止漏洞的出现在Android应用程序内容提供商的运营中。它们直接基于微软研究人员的研究结果。
谷歌特别推荐“忽略文件名”由通信应用程序提供和“使用自己内部生成的唯一标识符作为文件名”。这种预防措施切断了可能的攻击者脚下的距离。对于微软来说,最好的解决方案仍然是选择“随机生成的名称,因此即使传入流的内容格式错误,也不会损坏应用程序”。
来源 : 微软
