Microsoft сообщила о новой атаке Dirty Stream, которая затрагивает приложения Android с миллиардами установок. 

Проблема связана с механизмом обмена данными и файлами в Android, в частности с компонентом поставщика контента и классом FileProvider, который обеспечивает общий доступ к файлам между установленными приложениями.

Он обеспечивает изоляцию данных, разрешения URI и меры безопасности проверки пути для предотвращения несанкционированного доступа, утечек данных и атак с обходом пути.

Неправильная реализация этого механизма может привести к потенциально серьезным уязвимостям.

Microsoft обнаружила, что вредоносные приложения могут использовать Dirty Stream для перезаписи файлов в домашнем каталоге целевого приложения, что может привести к выполнению произвольного кода и краже токенов. 

Компания раскрыла подробности Dirty Stream, акцентируясь на уязвимые приложения Xiaomi File Manager и WPS Office, которые в совокупности имеют более 1,5 миллиардов установок из Google Play.

Исследователи выявили и другие уязвимые приложения в Google Play Store с совокупным числом установок в более четырех миллиардов.

Но в Microsoft полагают, что эта уязвимость может присутствовать и в других приложениях Android, открывая достаточно широкую поверхность для атак.

В связи с чем рассчитывают, что после публикации результатов исследования, в том числе в статье на сайте Android Developers, авторы проверят свои приложения на наличие аналогичных проблем и предотвратят их в будущих сборках.

Google также обновила руководство по безопасности приложений, чтобы выделить распространенные ошибки реализации в системе поставщика контента, которые позволяют обойти безопасность.

Что же касается конечных пользователей, то для них рекомендации остаются все теми же: поддерживать актуальность используемых ими приложений и избегать загрузки APK-файлов из неофициальных источников.

В Mullvad VPN обнаружили интересную особенность в Android, которую даже ошибкой то сложно назвать.

Во всяком случае в Google о ней знают, но исправлений пока планируют.

Дело в том, что даже при активированной функции Always-on VPN в Android все равно происходит утечка DNS-запросов, несмотря на блокировку любого сетевого графика вне VPN-туннеля.

Проблема была обнаружена 22 апреля и присутствовала в последней версии ОС, Android 14.

Как выяснилось, Android пропускает DNS-трафик, когда VPN активен (но DNS-сервер не настроен) или когда приложение VPN перенастраивает туннель, выходит из строя или принудительно останавливается.

Подобное поведение возникает при использовании приложений, которые напрямую вызывают функцию getaddrinfo, которая обеспечивает независимый от протокола перевод текстового имени хоста в IP-адрес.

Как в случае с браузером Chrome, который напрямую использует getaddrinfo.

При этом исслкедователи из Mullvad VPN не обнаружили никаких утечек из приложений, которые используют только Android API, такие как DnsResolver.

Вообще же задействование getaddrinfo для разрешения доменных имен вполне приемлемо, проблемы следует решать на стороне самой ОС, как считают в Mullvad VPN.

В качестве мер по смягчению и для снижения риска таких утечек Mullvad VPN рекомендуют временно отказаться от Android-устройств, пока Google не устранит ошибку и не перенесет исправление на более старые версии Android.

В Google пока не особо комментируют результаты исследования, ссылаясь на осведомленность и изучение проблемы.

В АНБ, по всей видимости, тоже пока думают и еще не спускали директив.