5月5日消息，國外媒體報(bào)道稱，微軟近期披露了一個(gè)被命名為“Dirty Stream”的重大安全漏洞，該漏洞使得攻擊者能夠控制應(yīng)用程序并竊取用戶的敏感信息。微軟指出，這一問題并非孤立事件，許多廣泛使用的Android應(yīng)用程序普遍存在這類漏洞，包括下載量超過10億次的小米文件管理器和大約5億次下載的WPS Office。目前，這兩家軟件供應(yīng)商均已確認(rèn)其產(chǎn)品中存在的安全隱患。

微軟的研究團(tuán)隊(duì)強(qiáng)調(diào)了受影響設(shè)備的龐大數(shù)量。他們在Google Play商店中發(fā)現(xiàn)了一些容易受到攻擊的應(yīng)用程序，這些應(yīng)用的累計(jì)下載量超過了4億。

所謂的“Dirty Stream”漏洞主要涉及到Android操作系統(tǒng)中的內(nèi)容提供者機(jī)制。該機(jī)制通常負(fù)責(zé)在設(shè)備上不同應(yīng)用程序之間進(jìn)行安全的數(shù)據(jù)傳輸。雖然該系統(tǒng)具備嚴(yán)格的數(shù)據(jù)隔離、特定URI（統(tǒng)一資源標(biāo)識符）附加權(quán)限以及文件路徑驗(yàn)證等安全措施，用以防止未授權(quán)訪問，但微軟的研究人員發(fā)現(xiàn)，如果開發(fā)者錯(cuò)誤地使用了自定義意圖（即Android應(yīng)用組件間通信的消息傳遞系統(tǒng)），可能會導(dǎo)致應(yīng)用程序的敏感部分暴露給攻擊者。

例如，那些容易受到攻擊的應(yīng)用程序可能沒有充分驗(yàn)證文件名或路徑，這就為惡意應(yīng)用創(chuàng)造了機(jī)會，使其能夠?qū)窝b成合法文件的惡意代碼注入其中。