如果您的Android设备有小米文件管理器或WPS Office，请立即更新。多个总安装量超过 40 亿的 Android 应用程序被发现存在漏洞，允许攻击者运行任意代码或窃取凭据。

微软发现多个流行的 Android 应用程序容易受到攻击，从而诱骗这些应用程序覆盖自己的关键文件。恶意软件可以通过创建文件名来利用此漏洞（称为“脏流攻击”），然后易受攻击的应用程序会在未经验证的情况下盲目接受这些文件名。

“此漏洞模式的影响包括任意代码执行和令牌盗窃，具体取决于应用程序的实现，”微软表示。

“任意代码执行可以使威胁行为者完全控制应用程序的行为。同时，令牌盗窃可以为威胁行为者提供对用户帐户和敏感数据的访问权限。”

小米的文件管理器（在 Google Play 商店中安装量超过 10 亿）和 WPS Office（在 Google Play 商店中的安装量超过 5 亿）都容易受到攻击。披露后，截至 2024 年 2 月，开发人员已发布解决这些漏洞的更新。

然而，微软还发现了其他多个容易受到“脏流”影响的未公开应用程序，这些应用程序的安装次数超过了 25 亿次。至少还有另外两款应用的安装量超过 5 亿。该公司还预计“该漏洞模式可能会在其他应用程序中发现”。

攻击将如何进行？

Android 操作系统通过为每个应用程序分配自己的专用数据和内存空间来强制应用程序隔离。对于文件共享，Android 提供了一个组件作为接口，用于管理数据并将数据公开给设备上的其他应用程序。

微软研究人员观察到，多个应用程序不会验证所提供的文件内容，甚至在其内部数据目录中缓存接收到的文件时使用其他应用程序提供的文件名。

“实施不当可能会引入漏洞，从而绕过应用程序主目录中的读/写限制，”微软解释道。

以小米的文件管理器为例，该实现允许攻击者通过用恶意库覆盖本机库来执行任意代码。此外，攻击者还可以连接到本地网络上的远程 FTP 或 SMB 共享。

谷歌为开发者发布了如何清理应用程序的指南。

“如果攻击者可以覆盖应用程序的文件，这可能会导致恶意代码执行（通过覆盖应用程序的代码），或者允许以其他方式修改应用程序的行为（例如，通过覆盖应用程序的共享首选项或其他配置文件）”，Google警告。

微软通过分享对该漏洞的研究，希望其他开发者能够检查他们的应用程序是否存在类似的普遍问题并发布修复程序。

文章原文链接:https://www.anquanke.com/post/id/296200