近日，據 AndroidAuthority 報道，微軟近日披露了一個名為“Dirty Stream”的嚴重安全漏洞，該漏洞可能影響到數十億下載量的 Android 應用。攻擊者一旦利用此漏洞，便有可能控制應用并竊取用戶敏感信息。

據悉，“Dirty Stream”漏洞的核心在于惡意應用可以操縱和濫用 Android 的內容提供程序系統(tǒng)。該系統(tǒng)通常用于設備上不同應用之間安全地交換數據，并包含嚴格的數據隔離、特定 URI 附加權限以及文件路徑驗證等安全措施，以防止未經授權的訪問。

然而，如果內容提供程序系統(tǒng)沒有被正確實現，就會產生漏洞。微軟研究人員發(fā)現，不當使用“自定義意圖”（custom intents，Android 應用組件之間的通信系統(tǒng)）可能會暴露應用的敏感區(qū)域。例如，易受攻擊的應用可能無法充分檢查文件名或路徑，從而為惡意應用提供了可乘之機，使其可以將偽裝成合法文件的惡意代碼混入其中。

攻擊者利用“Dirty Stream”漏洞后，可以誘騙易受攻擊的應用覆蓋其私有存儲空間中的關鍵文件。這種攻擊可能使得攻擊者完全控制應用，未經授權訪問敏感用戶數據，或攔截私密登錄信息。

微軟的研究表明，此漏洞并非個例，研究人員發(fā)現許多流行的 Android 應用都存在內容提供程序系統(tǒng)實現不當的問題。例如，擁有超過 10 億安裝量的小米文件管理器和擁有約 5 億安裝量的 WPS Office 都存在此漏洞。

微軟研究人員 Dimitrios Valsamaras 強調了受影響設備數量的龐大，他表示：“我們在 Google Play 商店中發(fā)現了多個易受攻擊的應用，這些應用的總安裝量超過 40 億次?！?/p>

微軟已積極分享其發(fā)現，并通知可能存在漏洞的應用開發(fā)者，并與他們合作部署修復程序。上述兩家公司都已迅速承認其軟件中存在的問題。

此外，谷歌也采取了措施來防止類似漏洞的出現，其更新了應用安全指南，現在更加強調可利用的常見內容提供程序設計缺陷。