看到“微軟”和“漏洞”這兩個關鍵詞,可能有部分讀者會認為小編寫這篇文章的主題是介紹近期微軟Windows作業系統又爆出了什麼嚴重的安全漏洞。
小編之前的确寫過很多這類的文章,不過這一次是例外,雖然主角仍然是微軟,但是發現存在漏洞的并不是微軟自家的Windows作業系統,而是谷歌的安卓系統。
簡而言之,微軟安全團隊發現了一個安卓應用程式中普遍存在的嚴重安全漏洞,——是的,你沒有看錯,這種事情比較少,但是以前也發生過。
請注意:這并非什麼小道消息,而是來自微軟安全團隊的分享,5月1日,微軟安全團隊釋出了一篇題為《“髒流”攻擊:發現并緩解 Android 應用中常見漏洞模式》的文章(圖一),詳細介紹了這個漏洞。
微軟安全團隊表示,它們在諸多Android應用中發現了與自定義意圖 (Custom Intents) 有關的漏洞,并将其命名為“髒流”(Dirty Stream)。
髒流漏洞可使惡意應用程式覆寫存在該漏洞的、易受攻擊的應用程式主目錄中的檔案,可使攻擊者能夠執行任意代碼和竊取身份憑證,包括使用者的帳戶和敏感資料等等。
微軟安全團隊稱,髒流漏洞很普遍,它們在谷歌Play商店中發現了很多存在該漏洞的應用程式,包括很多主流應用程式,這些應用的安裝量累積超過40億次。
其中至少有四款超級應用程式的安裝量都超過5億,其中“兩個易受攻擊的應用程式”分别是小米檔案管理器,安裝量超過10億,還有金山的WPS Office,安裝量超過5億。
需要強調的是:這并非小編在故意“造謠”、“黑”小米和WPS Office,不存在的,該内容均來源于微軟安全團隊所公開披露的資訊,請參閱上圖。
安卓系統通過為每個應用程式配置設定自己的專用資料和記憶體空間來強制隔離,但是在某些情況下,不同應用程式之間可能需要彼此傳遞、交換資料。
為了滿足這種需求,安卓系統提供了一個被稱為内容提供程式的元件,用于以安全的方式管理資料并将其公開、傳遞給其他已安裝的應用程式。
如果開發者使用得當、嚴謹,沒有問題,但是,如果使用不得當、不嚴謹的話,就會産生嚴重的風險和漏洞,進而繞過應用程式主目錄中的讀、寫限制。
為了驗證、解釋這些問題,微軟安全團隊拿小米檔案管理器舉例。小米公司的檔案管理器是小米裝置的預設檔案管理器應用程式。
該程式除了對裝置的外部存儲具有完全通路權限之外,還擁有許多其它權限,包括安裝其他應用程式的權限、運作垃圾檔案清理插件以及連接配接到遠端FTP和SMB共享的權限等等。
微軟安全團隊公布了利用髒流漏洞在小米檔案管理器V1-210567版本中執行任意代碼執行的詳細示範過程,在WPS Office 16.8.1版本中,也是如此。由于微軟的示範和說明内容非常專業、枯燥,主要面向開發者,小編在這裡就不詳細介紹了,有興趣的朋友可自行登入微軟官網閱讀。
微軟安全團隊最後表示,由于發現“這種漏洞可能很普遍”,已将髒流漏洞彙報給了谷歌和小米、WPS Office等公司。并已與谷歌合作,為Android應用程式開發人員編寫了指南,以幫助他們識别和避免這種漏洞。
至于小編之前提到的小米檔案管理器和WPS Office,兩個應用軟體的開發團隊在接到微軟的通報後已進行了修複、小米檔案管理器在V1-210593 版本中、WPS Office在17.0.0版本中都已經修複了髒流漏洞,并且已經通過微軟安全團隊的驗證和确認。
對此,微軟表示:“我們要感謝Xiaomi, Inc和WPS Office安全團隊調查并修複了此問題。截至2024年2月,已為上述應用程式部署了修複程式,建議使用者保持其裝置和已安裝的應用程式的版本是最新的。”請參閱上圖。
補充說明:微軟安全團隊所發表的文章原文為英文,本文截圖均來源于該文章,為友善讀者閱讀了解,截圖中内容使用機器翻譯為中文,僅供參考。