5月5日消息，據(jù)國外媒體報(bào)道，近日微軟披露了一個名為“Dirty Stream”的嚴(yán)重安全漏洞，攻擊者可利用此漏洞控制應(yīng)用程序并竊取有價值的用戶信息。

微軟的研究表明，這個漏洞并不是個例，許多流行的Android應(yīng)用程序普遍存在這一問題，例如安裝量超過10億次的小米文件管理器和安裝量約5億次的WPS Office。

目前上述兩個廠商已經(jīng)及時確認(rèn)其軟件中存在的問題。

微軟研究員強(qiáng)調(diào)了面臨風(fēng)險(xiǎn)的設(shè)備數(shù)量驚人：“我們在Google Play商店中發(fā)現(xiàn)了幾個易受攻擊的應(yīng)用程序，這些應(yīng)用的總安裝量超過了40億?！?/p>

根據(jù)介紹，“Dirty Stream”漏洞的核心在于惡意應(yīng)用可以操縱和濫用Android的內(nèi)容提供程序系統(tǒng)，該系統(tǒng)通常用于設(shè)備上不同應(yīng)用程序之間的安全數(shù)據(jù)交換。

同時該系統(tǒng)還包含嚴(yán)格的數(shù)據(jù)隔離、特定URI（統(tǒng)一資源標(biāo)識符）附加權(quán)限以及文件路徑驗(yàn)證等安全措施，以防止未經(jīng)授權(quán)的訪問。

然而微軟研究人員發(fā)現(xiàn)，不正確地使用“自定義意圖”（允許Android應(yīng)用組件進(jìn)行通信的消息傳遞系統(tǒng)）可能會暴露應(yīng)用的敏感區(qū)域。

例如易受攻擊的應(yīng)用可能無法充分檢查文件名或路徑，從而為惡意應(yīng)用提供了可乘之機(jī)，使其可以將偽裝成合法文件的惡意代碼混入其中。