5月5日消息，微軟最近向公眾披露了一個名為“DirtyStream”的嚴重安全漏洞，據(jù)稱該漏洞可能威脅到數(shù)十億下載量的Android應(yīng)用。若攻擊者利用此漏洞，將有機會掌控相關(guān)應(yīng)用并竊取用戶的敏感信息。3yc28資訊網(wǎng)——每日最新資訊28at.com

“DirtyStream”漏洞問題的核心，在于惡意應(yīng)用有可能操控并濫用Android的內(nèi)容提供程序系統(tǒng)。該系統(tǒng)原本的設(shè)計初衷，是在設(shè)備上的不同應(yīng)用之間實現(xiàn)數(shù)據(jù)的安全交換，它包含了數(shù)據(jù)隔離、特定URI附加權(quán)限以及文件路徑驗證等多重安全防護措施，旨在防止任何未經(jīng)許可的訪問。3yc28資訊網(wǎng)——每日最新資訊28at.com

3yc28資訊網(wǎng)——每日最新資訊28at.com

然而，微軟的研究人員指出，如果內(nèi)容提供程序系統(tǒng)未能得到正確的實施，就可能會產(chǎn)生安全漏洞。他們發(fā)現(xiàn)，不恰當?shù)氖褂谩白远x意圖”(customintents)——這一Android應(yīng)用組件間的通信系統(tǒng)——可能會使應(yīng)用的敏感區(qū)域暴露無遺。舉個例子來說，那些防范不嚴的應(yīng)用可能會疏于對文件名或路徑的充分檢查，這就給惡意應(yīng)用留下了可乘之機，它們可以趁機將偽裝成合法文件的惡意代碼注入其中。3yc28資訊網(wǎng)——每日最新資訊28at.com

據(jù)ITBEAR科技資訊了解，一旦攻擊者成功利用了“DirtyStream”漏洞，他們就能誘騙那些易受攻擊的應(yīng)用去覆蓋其私有存儲空間里的關(guān)鍵文件。這樣的攻擊手段可能會讓攻擊者完全控制住應(yīng)用，進而未經(jīng)許可地訪問用戶的敏感數(shù)據(jù)，甚至攔截私密的登錄信息。3yc28資訊網(wǎng)——每日最新資訊28at.com

微軟的研究還進一步揭示，這一漏洞并非孤例。研究人員在多款熱門的Android應(yīng)用中，都發(fā)現(xiàn)了內(nèi)容提供程序系統(tǒng)實現(xiàn)不當?shù)那闆r。比如安裝量超過10億的小米文件管理器和安裝量約5億的WPSOffice，都受到了這一漏洞的影響。3yc28資訊網(wǎng)——每日最新資訊28at.com

微軟的研究人員Dimitrios Valsamaras特別強調(diào)了受漏洞影響設(shè)備數(shù)量的龐大。他表示：“我們在GooglePlay商店中發(fā)現(xiàn)了許多易受攻擊的應(yīng)用，這些應(yīng)用的總安裝量已經(jīng)超過了40億次?！?span style="display:none">3yc28資訊網(wǎng)——每日最新資訊28at.com

面對這一嚴峻的安全問題，微軟已經(jīng)積極地分享了他們的發(fā)現(xiàn)，并通知了那些可能存在漏洞的應(yīng)用開發(fā)者，與他們緊密合作以部署修復(fù)程序。目前，上述存在問題的兩家公司都已經(jīng)迅速承認了軟件中存在的問題，并著手進行修復(fù)。3yc28資訊網(wǎng)——每日最新資訊28at.com

除此之外，谷歌也采取了相應(yīng)的措施來預(yù)防類似漏洞的出現(xiàn)。他們更新了應(yīng)用安全指南，現(xiàn)在更加強調(diào)了那些常見的、可能被利用的內(nèi)容提供程序設(shè)計缺陷。這一系列的舉措，無疑將為Android用戶的數(shù)據(jù)安全提供更加堅實的保障。3yc28資訊網(wǎng)——每日最新資訊28at.com

本文鏈接：http://www.tebozhan.com/showinfo-16-102456-0.html微軟發(fā)現(xiàn)致命安全漏洞，數(shù)十億Android應(yīng)用用戶需警惕

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： 鴻海公布4月財報：營收達5109億新臺幣，同比增長19%

下一篇： 網(wǎng)易公益獎勵梅大高速司機10萬獎金，點贊其義勇之舉