微软近日发现了一种名为“Dirty Stream”的攻击技术，可能允许黑客控制应用程序并窃取敏感数据，影响多个广泛使用的Android应用程序，数十亿设备面临风险。

据微软公告，“Dirty Stream”是一种与路径遍历相关的攻击模式，该漏洞可能被恶意应用程序利用来覆盖易受攻击应用程序主目录中的文件，从而导致任意代码执行和令牌盗窃。成功利用漏洞可能允许攻击者获取对应用程序的完全控制，并未经授权访问用户账户及敏感数据。

安全研究人员在谷歌应用商店中发现了多个存在该漏洞的应用程序，共有超过40亿次下载。微软在报告中还特别提到了两个受影响的热门应用程序：小米文件管理器（安装量超10亿次）、WPS Office（安装量超5亿次）。

据分析，问题出现在Android的数据和文件共享系统的内容提供程序组件及其“FileProvider”类中。谷歌表示，FileProvider是ContentProvider的子类，旨在为服务器应用程序提供与客户端应用程序共享文件的安全方法。然而，如果客户端应用程序未正确处理服务器应用程序提供的文件名，那么攻击者就可能以恶意的FileProvider覆盖客户端应用程序特定存储中的文件。

微软此前已通过MSVR的协调漏洞披露通知了受影响应用程序的开发者，并已与小米公司和WPS Office安全团队合作解决了这个问题。受影响应用程序的修复已于2024年2月完成，建议用户及时更新已安装的应用程序。然而，微软表示该问题很可能极为普遍，其他开发人员亦需要采取措施检查其应用程序是否存在类似问题。

报告链接：https://www.microsoft.com/en-us/security/blog/2024/05/01/dirty-stream-attack-discovering-and-mitigating-a-common-vulnerability-pattern-in-android-apps/

编辑：左右里

资讯来源：Microsoft、Developers

转载请注明出处和本文链接

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！