智者2024年5月6日消息，微軟近日揭露了一個名為“Dirty Stream”的嚴(yán)重安全漏洞，該漏洞普遍存在于Android應(yīng)用程序中，可能允許攻擊者執(zhí)行惡意代碼，進(jìn)而控制應(yīng)用程序并竊取有價值的用戶信息。據(jù)微軟的研究顯示，此漏洞影響范圍廣泛，涉及數(shù)十億次下載的流行Android應(yīng)用程序。

“Dirty Stream”漏洞的核心問題在于惡意應(yīng)用可能操縱和濫用Android的內(nèi)容提供程序系統(tǒng)，該系統(tǒng)原本的設(shè)計是為了在設(shè)備上的不同應(yīng)用程序之間進(jìn)行安全的數(shù)據(jù)交換。然而，微軟研究人員發(fā)現(xiàn)，如果不正確地使用“自定義意圖”（一種允許Android應(yīng)用組件進(jìn)行通信的消息傳遞系統(tǒng)），可能會暴露應(yīng)用的敏感區(qū)域。具體來說，易受攻擊的應(yīng)用程序可能無法充分檢查文件名或路徑，為惡意應(yīng)用提供了可乘之機，它們可以將偽裝成合法文件的惡意代碼混入其中。

微軟研究員指出，他們在Google Play商店中發(fā)現(xiàn)了多個易受攻擊的應(yīng)用程序，這些應(yīng)用的總安裝量超過了40億次。微軟已經(jīng)主動分享其發(fā)現(xiàn)，并與開發(fā)人員合作部署修復(fù)程序。

對于安卓用戶來說，保持對應(yīng)用程序更新的警惕性至關(guān)重要，因為開發(fā)人員可能會迅速發(fā)布修復(fù)程序。同時，建議用戶始終從官方Google Play商店下載應(yīng)用程序，并避免從非官方來源下載，以降低潛在風(fēng)險。