2024-05-05 17:40 来源:得道网
埃德加·塞万提斯/安卓权威
博士TL;
微软揭露了一个严重的安全漏洞,可能会影响无数Android应用程序。这个被称为“脏流”的漏洞构成了严重的威胁,可以让某人控制应用程序并窃取有价值的用户信息。(h/t:哔哔响的电脑)
“脏流”漏洞的核心在于恶意Android应用程序操纵和滥用Android内容提供商系统的可能性。该系统通常设计用于促进设备上不同应用程序之间的安全数据交换。它包括严格隔离数据、使用附加到特定uri(统一资源标识符)的权限以及对文件路径进行彻底验证以防止未经授权的访问等保护措施。
然而,该系统的粗心实现可能会打开被利用的大门。微软的研究人员发现,错误地使用“自定义意图”(允许Android应用程序组件进行通信的消息传递系统)可能会暴露应用程序的敏感区域。例如,易受攻击的应用程序可能无法充分检查文件名或路径,从而使恶意应用程序有机会伪装成合法文件潜入有害代码。
通过利用脏流漏洞,攻击者可以欺骗易受攻击的应用程序覆盖其私有存储空间中的关键文件。这种攻击场景可能导致攻击者完全控制应用程序的行为,获得对敏感用户数据的未经授权访问,或拦截私人登录信息。
微软的调查显示,这个漏洞并不是一个孤立的问题,因为研究发现,许多流行的Android应用程序普遍存在错误的内容提供商系统实现。两个值得注意的例子是小米的文件管理器应用程序,安装量超过10亿,以及WPS Office,安装量约为5亿。
微软研究员Dimitrios Valsamaras强调了存在风险的设备数量惊人,他说:“我们在Google Play商店中发现了几个易受攻击的应用程序,这些应用程序的安装量超过40亿。”
微软主动分享了它的发现,提醒开发者潜在的易受攻击的应用程序,并与他们合作部署修复程序。上面提到的两家公司都及时承认了他们软件中发现的问题。
此外,谷歌已经采取措施,通过更新其应用程序安全指南来防止未来出现类似漏洞,现在将额外的重点放在可利用的常见内容提供程序设计缺陷上。
当开发者忙于寻找和修补漏洞应用时,Android用户可以采取一些简单的预防措施。对应用更新保持警惕至关重要,因为开发者可能会迅速发布修复程序。
此外,建议始终从官方Google Play Store下载应用程序,并在从非官方来源下载时保持高度谨慎,因为非官方来源更有可能窝藏恶意应用程序。
有什么建议吗?跟我们谈谈!给我们的员工发邮件[Email] 受保护的)。你可以留在这里 匿名或获得信息的荣誉,这是你的选择。
