數十億 Android 裝置面臨 Dirty Stream 攻擊

微軟發現一個 Android app 上的安全性漏洞，使其容易遭到遠端程式碼執行攻擊，或發生 token 被盜取等等問題，甚至一些熱門 app 也受影響。微軟已向 Google 的 Android 安全研究團隊通報這項此問題，Google 也向 Android 應用程式開發人員發布新的指南，說明如何辨識和修復此問題。

數十億裝置面臨風險

除了通知 Google 外，微軟亦將此問題告知 Google Play 商店中受影響的 Android 應用程式供應商，其中包括小米公司產品 — 安裝數量超過 10 億次的 Mi File Manager，以及下載數量約 5 億次的 WPS Office。

微軟表示，這兩款產品的供應商已解決此問題。但微軟認為可能還有更多的 app 因相同的安全漏洞而遭利用和破壞。微軟的威脅情報小組在部落格上表示，其他 app 也可能出現此漏洞模式。微軟分享這項研究，讓開發者和發行商檢查他們的 app 是否存在同樣問題並進行修復。

這個漏洞影響到其他應用程式共享檔案的 Android 應用程式。Android 系統針對檔案共享，實作了一個「內容提供者（content provider）」介面，用來管理及給予應用程式資料給裝置上所安裝的其他應用程式。需要共享檔案的應用程式（以 Android 來說為「檔案提供者」），可宣告特定路徑以便其他應用程式取得資料。檔案提供者還包含識別功能，其他應用程式可利用此位址在系統上找到它們。

盲目信任和缺乏內容驗證

微軟解釋，此內容提供者模式，提供定義明確的檔案共享機制，使服務應用程式能藉由精細的控制，以安全方式與其他應用程式共享檔案。但是在多數情況下，當 Android  app 自另一個 app 接收檔案時，並沒有驗證內容。令人擔憂的是，它使用服務應用程式提供的檔案名稱，將接收到的檔案站存在其他應用程式的內部資料目錄中。

這讓惡意攻擊者有機可趁：在使用者不知情或未經批准的情況下，可將帶有惡意檔案名稱的檔案，直接發送到接收應用程式（或檔案共享目標）。典型的檔案共享目標包括電子郵件收件者、通訊 app、網路 app、瀏覽器和檔案編輯器。當共享目標收到惡意檔案名稱時，它用該檔案名稱來初始化檔案，觸發入侵 app 的程序。

其潛在影響會因 Android 應用程式具體實作細節而有所不同。在某些情況下，攻擊者可能會使用惡意 app 覆蓋接收端 app 的設定，讓攻擊者控制的伺服器與 app 直接通訊，或將使用者的身份驗證 token 和其他資料分享出來。此外，還可以用惡意程式碼覆蓋接收端 app 的本機程式庫，以便任意執行程式碼。由於惡意應用程式控制了檔案的名稱和內容，當盲目信任此輸入，便覆蓋共享目標的私有資料空間中的關鍵檔案，後果相當嚴重。

微軟和 Google 皆提醒開發者如何避免此問題。此外，最終使用者務必隨時更新其 Android 裝置上的 app，且只能自可信任來源安裝 app，方能減低風險。