微软警告Dirty Stream脏流攻击影响超过40亿次安装的 Android 应用程序

微软强调了一种名为“Dirty Stream脏流”的新型攻击，该攻击可能允许恶意 Android 应用程序覆盖另一个应用程序主目录中的文件，从而可能导致任意代码执行和机密盗窃。

该缺陷是由于 Android 内容提供商系统使用不当造成的，该系统管理对在不同应用程序之间共享的结构化数据集的访问。

该系统结合了数据隔离、URI权限和路径验证等安全措施，防止未经授权的访问、数据泄露和路径遍历攻击。

如果实施不正确，自定义意图（促进 Android 应用程序组件之间通信的消息传递对象）可能会绕过这些安全措施。

不正确实现的示例包括信任意图中未经验证的文件名和路径、滥用“FileProvider”组件以及不充分的路径验证。

Dirty Stream 允许恶意应用程序使用自定义意图将具有被操纵的文件名或路径的文件发送到另一个应用程序。目标应用程序被误导而信任文件名或路径，并在关键目录中执行或存储文件。

脏流概述，来源：Microsoft

这种对两个 Android 应用程序之间数据流的操纵将常见的操作系统级功能变成了武器化工具，并可能导致未经授权的代码执行、数据盗窃或其他恶意结果。

使用 Dirty Stream 的各种攻击场景，来源：Microsoft

微软研究员 Dimitrios Valsamaras 指出，不幸的是，这些错误的实现非常多，影响了安装超过 40 亿次的应用程序，并提供了巨大的攻击面。

报告中写道：“我们在 Google Play 商店中发现了多个易受攻击的应用程序，这些应用程序的安装量已超过 40 亿次。”

“我们预计该漏洞模式可能会在其他应用程序中发现。我们正在分享这项研究，以便开发人员和发行商可以检查他们的应用程序是否存在类似问题，进行适当的修复，并防止将此类漏洞引入新的应用程序或版本中。”

微软报告（https://www.microsoft.com/en-us/security/blog/2024/05/01/dirty-stream-attack-discovering-and-mitigating-a-common-vulnerability-pattern-in-android-apps/）中强调容易受到 Dirty Stream 攻击的两个应用程序是小米的文件管理器应用程序（安装量超过 10 亿）和 WPS Office（安装量约为5 亿）。

两家公司都对调查结果做出了响应，并与 Microsoft 合作部署修复程序以减轻该漏洞带来的风险。

微软的调查结果通过 Android 开发者网站上的一篇文章与 Android 开发者社区分享（https://developer.android.com/privacy-and-security/risks/untrustworthy-contentprovider-provided-filename），以防止未来版本中出现类似漏洞。

谷歌还更新了其应用程序安全指南，以强调内容提供商系统中允许安全绕过的常见实施错误。

对于最终用户来说，除了保持他们使用的应用程序最新并避免从非官方第三方应用程序商店和其他未经审查的来源下载 APK 之外，他们无能为力。

参考链接：https://www.bleepingcomputer.com/news/security/microsoft-warns-of-dirty-stream-attack-impacting-android-apps/