5月5日消息，據(jù)國外媒體報道，近日微軟披露了一個名為“Dirty Stream”的嚴重安全漏洞，攻擊者可利用此漏洞控制應用程序并竊取有價值的用戶信息。

微軟的研究表明，這個漏洞并不是個例，許多流行的Android應用程序普遍存在這一問題，例如安裝量超過10億次的小米文件管理器和安裝量約5億次的WPS Office。

目前上述兩個廠商已經(jīng)及時確認其軟件中存在的問題。

微軟研究員強調(diào)了面臨風險的設備數(shù)量驚人：“我們在Google Play商店中發(fā)現(xiàn)了幾個易受攻擊的應用程序，這些應用的總安裝量超過了40億。”

根據(jù)介紹，“Dirty Stream”漏洞的核心在于惡意應用可以操縱和濫用Android的內(nèi)容提供程序系統(tǒng)，該系統(tǒng)通常用于設備上不同應用程序之間的安全數(shù)據(jù)交換。

同時該系統(tǒng)還包含嚴格的數(shù)據(jù)隔離、特定URI（統(tǒng)一資源標識符）附加權限以及文件路徑驗證等安全措施，以防止未經(jīng)授權的訪問。

然而微軟研究人員發(fā)現(xiàn)，不正確地使用“自定義意圖”（允許Android應用組件進行通信的消息傳遞系統(tǒng)）可能會暴露應用的敏感區(qū)域。

例如易受攻擊的應用可能無法充分檢查文件名或路徑，從而為惡意應用提供了可乘之機，使其可以將偽裝成合法文件的惡意代碼混入其中。