Новая хакерская атака под названием «Грязный поток» (Dirty Stream) использует вредоносные мобильные приложения для перезаписи файлов на Android-устройствах. Microsoft предупреждает, что недавно произошло четыре миллиарда установок "ненадежных" приложений из Google Play, которые уязвимы к этой атаке. Эксперты по кибербезопасности считают, что установленные приложения непреднамеренно позволяют вредоносному ПО находить, использовать или заменять важные данные на устройствах.
Каждое приложение в мобильной операционной системе Android имеет собственное выделенное пространство для данных и оперативной памяти. Чтобы приложения могли взаимодействовать друг с другом, Android имеет функцию «поставщика контента» (content provider), которая обеспечивает безопасную передачу данных между приложениями. Поставщики контента могут использовать специальные запросы (intents) или операционные триггеры для инициации запросов данных на протяжении всего этого процесса.
По данным Microsoft, хакерская атака «Грязный поток» использует специальные запросы для манипулирования поставщиками контента, заставляя его выполнять действия, которые несут опасность для владельца устройства. После того, как пользователь по неосторожности устанавливает вредоносное приложение, оно создает запрос, направленный на обмен файлами с другим приложением на устройстве. Запрос содержит в себе измененное имя файла или путь, который целевое приложение «обманным путем» заставляет выполнить или сохранить. Microsoft утверждает, что последствия этого запроса могут быть катастрофическими: от перезаписи критически важных файлов до произвольного выполнения кода и кражи токенов, что позволяет черным хакерам получить доступ к учетным записям жертвы или конфиденциальным данным.
Причина, по которой некоторые приложения становятся жертвами атаки "Грязного потока", кроется в способе, которым они получают доступ к своим серверным конфигурациям. Среди наиболее популярных приложений, подверженных этой уязвимости, находятся File Manager от Xiaomi, установленный более чем на миллиарде устройств, и офисный пакет WPS Office с более чем полумиллиардом пользователей. После обнаружения брешей в безопасности этих программ, корпорация Microsoft проинформировала их разработчиков о наличии уязвимости. В ответ компании Xiaomi и WPS выпустили обновления, закрывающие обнаруженную лазейку для атак в своих продуктах.
Кроме того, Microsoft заявила, что сотрудничает с Google с целью повышения защищенности приложений от атаки "Грязного потока". После передачи своих наработок в группу, отвечающую за безопасность Android-приложений, корпорация помогла разработать руководство по снижению риска подобной уязвимости для разработчиков мобильного ПО. Что касается конечных пользователей, то им настоятельно рекомендуется устанавливать приложения только из проверенных и надежных источников. В случае, если загрузка из нетипичного источника неизбежна, следует применять специальные утилиты вроде Microsoft Defender для проверки установочных файлов на отсутствие вредоносного функционала.