Az Android nagy hangsúlyt fektet a készülékekre telepített alkalmazások biztonságára, gyárilag különválasztja a Play Áruházból és a más forrásból letöltött szoftvereket, emiatt a telepített appok nem tudnak hozzáférni egymás adataihoz, például a rosszindulatú alkalmazások így nem képesek kilopni más programokból a mentett belépési adatokat - írja az Origo.

Ettől függetlenül az androidos alkalmazások szabványos és felügyelt keretek között képesek kommunikálni egymással: információkat és fájlokat küldhetnek egymásnak, továbbá ilyen adatokat kérhetnek is egymástól.

A különböző alkalmazások közötti adatcserét lehetővé tévő megoldást, mint írják, az elmúlt bő évtizedben nem érte biztonsági kritika, ám a Microsoft szakemberei feltártak egy gyenge pontot.

A Dirty Stream néven elnevezett támadással a mobilokra telepített rosszindulatú appok képesek lehetnek felülírni más alkalmazásokat adatait, illetéktelen kódfuttatásra vehetik rá azokat, végső soron akár érzékeny információkat is képesek lehetnek kilopni belőlük.

Habár csekély vigasz, a Dirty Stream-módszer nem az Android rendszerek sérülékenysége miatt működik, hanem azért, mert az appok fejlesztői nem fordítanak elég figyelmet a más alkalmazások által küldött fájlok proaktív biztonsági ellenőrzésére.

Hozzáteszik, nagyon sok alkalmazás nem támadható ezzel a módszerrel, de például a milliárdos letöltésszámú Xiaomi File Manager, valamint az ötszázmillió ember által letöltött WPS Office feltörhetőnek bizonyult, a fejlesztők már dolgoznak a hibák kijavításán.

A Microsoft és a Google tájékoztató oldalt készítettek a fejlesztők számára a Dirty Stream kapcsán, amelyből azok megérthetik, hogy miként tudják ellenállóvá tenni vele szemben az appjaikat.