歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
數十億Android 裝置可能面臨 Dirty Stream 攻擊
2024 / 05 / 06
編輯部
微軟研究人員最近發現許多Android應用程式由於一個普遍的安全性缺陷,可能遭受遠端程式碼執行攻擊、權杖被盜取等問題。受影響的應用程式中也有超過5億次下載的主流應用程式。
微軟已通知Google的Android安全研究團隊此問題。而Google也對Android應用程式開發人員發布新的指南,說明如何辨識和修復此問題。
除通知Android團隊外,
微軟也告知在Google Play商店上受影響Android應用程式的發行廠商,其中包括下載超過10億次的Mi File Manager以及5億次下載的WPS Office。
微軟表示,這兩款APP的廠商已修正此問題。但微軟認為,還有其他因同樣安全弱點而容易受到利用和入侵的應用程式存在。微軟威脅情報團隊在近期的文章中表示,可能在其他應用程式中也發現此類型的漏洞。微軟分享這項研究,是為了讓開發人員和發行者能檢查其應用程式是否存在類似問題,適當修復。並避免在新的應用程式或發行版本中引入同樣漏洞。微軟將這個漏洞稱之為Dirty Stream。
Dirty Stream緣由
為了以安全的方式進行檔案共享,Android系統佈署「內容提供者(content provider)」介面。此介面扮演管理和分享應用程式資料給裝置上其他已安裝應用程式。需要共享檔案的應用程式,在Android術語中稱為檔案提供者(File provider)會宣告其他應用程式可用於存取資料的特定路徑。File provider還有一種識別功能,方便其他應用程式可以系統上尋找它們的位址。
微軟解釋,content provider模型提供明確定義的檔案共享機制,使伺服應用程式能夠精準的以安全的方式與其他應用程式共享檔案。然而,在許多情況下,當Android應用程式從另一個應用程式收到檔案時,卻沒有驗證內容。
最令人關注的是,它會使用由應用程式提供的檔案名稱,在其他應用程式的內部資料目錄中快取儲存收到的檔案名稱。
攻擊者可以利用這樣的機制,設計惡意應用程式檔案,在用戶不知情或未經批准的情況下,將具有惡意檔案名稱的檔案直接發送給接收應用程式(或檔案共享目標)。微軟表示,典型的檔案共享目標包括電子郵件收件者、訊息應用程式、網路應用程式、瀏覽器和檔案編輯器。
當共享目標收到惡意檔案名稱時,它會使用該檔案名稱來初始化檔案並觸發一個可能導致應用程式被入侵的攻擊。
潛在的影響將取決於Android應用程式的實作細節。在某些情況下,攻擊者可以使用惡意應用程式來覆寫接收應用程式的設定,導致它與受攻擊者控制的伺服器通訊,或讓它共享用戶的驗證權杖和其他資料。
惡意應用程式也可以將惡意程式碼覆寫到接收應用程式端的原生程式庫中,啟動任意程式碼的執行。微軟解釋,由於惡意應用程式控制了檔案的名稱和內容,如果盲目信任這些輸入,共享目標可能會覆寫其私有資料空間中的關鍵檔案,這可能會導致嚴重後果。
目前微軟和Google都已為開發人員提供解決此問題的技巧。與此同時,終端使用者可透過確保其Android應用程式保持最新狀態,並只從可信來源安裝應用程式,來減輕此類風險。
本文轉載自Darkreading。
應用程式安全
檔案交換
最新活動
2025.08.20
高階金融圓桌餐會
2025.08.21
弱點掃描與滲透測試怎麼選?資安稽核變嚴下的企業通關指南
2025.08.21
2025【數位應用週】資安助攻.開創ESG新局 論壇報名
2025.08.26
漢昕科技X線上資安黑白講【CDN 驅動的資安革新:Cloudflare 與數位部的實戰啟示】2025/8/26開講!
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
2025.09.11
9/11-9/12【API 安全開發指南:漏洞修復與授權管理實務】兩日精華班
看更多活動
大家都在看
新型Win-DDoS攻擊手法可將公開網域控制器變成DDoS殭屍網路
新型EDR殺手工具橫掃八大勒索軟體集團:RansomHub打造終極安全繞過利器
WinRAR零時差漏洞遭RomCom駭客組織利用
AI程式碼生成安全隱憂:語法正確率破九成,但資安漏洞依舊氾濫
強化資安治理 台中市府局處資安長全員通過國際資安認證
資安人科技網
文章推薦
Microsoft 推出 2025年8月 Patch Tuesday 每月例行更新修補包
中華資安預計Q3上市,上半年EPS達6.01元創高,成長動能強勁
HTTP 請求走私攻擊新變種威脅數百萬網站