近日微軟揭露了一個名為「Dirty Stream」的嚴重安全漏洞，攻擊者可利用此漏洞控制應用程式並竊取有價值的使用者資訊。微軟的研究表明，這個漏洞並不是個例，許多流行的Android應用程式普遍存在這一問題，例如安裝量超過10億次的小米檔案管理器和安裝量約5億次的WPS Office。

目前上述兩家廠商已經及時確認其軟體中存在的問題。

微軟研究員強調了面臨風險的設備數量驚人：“我們在Google Play商店中發現了幾個易受攻擊的應用程序，這些應用的總安裝量超過了40億。”

根據介紹，「Dirty Stream」漏洞的核心在於惡意應用可以操縱和濫用Android的內容提供者係統，該系統通常用於裝置上不同應用程式之間的安全資料交換。

同時系統還包含嚴格的資料隔離、特定URI（統一資源識別碼）附加權限以及檔案路徑驗證等安全措施，以防止未經授權的存取。

然而微軟研究人員發現，不正確地使用「自訂意圖」（允許Android應用元件進行通訊的訊息傳遞系統）可能會暴露應用程式的敏感區域。

例如易受攻擊的應用程式可能無法充分檢查檔案名稱或路徑，從而為惡意應用程式提供了可乘之機，使其可以將偽裝成合法檔案的惡意程式碼混入其中。

了解更多：

https://www.microsoft.com/en-us/security/blog/2024/05/01/dirty-stream-attack-discovering-and-mitigating-a-common-vulnerability-pattern-in-android-apps