Az Android nagy hangsúlyt fektet a készülékekre telepített alkalmazások biztonságára, gyárilag különválasztja a Play Áruházból és a más forrásból letöltött szoftvereket, emiatt a telepített appok nem tudnak hozzáférni egymás adataihoz, például a rosszindulatú alkalmazások így nem képesek kilopni más programokból a mentett belépési adatokat - írja az Origo.
Ettől függetlenül az androidos alkalmazások szabványos és felügyelt keretek között képesek kommunikálni egymással: információkat és fájlokat küldhetnek egymásnak, továbbá ilyen adatokat kérhetnek is egymástól.
A különböző alkalmazások közötti adatcserét lehetővé tévő megoldást, mint írják, az elmúlt bő évtizedben nem érte biztonsági kritika, ám a Microsoft szakemberei feltártak egy gyenge pontot.
A Dirty Stream néven elnevezett támadással a mobilokra telepített rosszindulatú appok képesek lehetnek felülírni más alkalmazásokat adatait, illetéktelen kódfuttatásra vehetik rá azokat, végső soron akár érzékeny információkat is képesek lehetnek kilopni belőlük.
Habár csekély vigasz, a Dirty Stream-módszer nem az Android rendszerek sérülékenysége miatt működik, hanem azért, mert az appok fejlesztői nem fordítanak elég figyelmet a más alkalmazások által küldött fájlok proaktív biztonsági ellenőrzésére.
Hozzáteszik, nagyon sok alkalmazás nem támadható ezzel a módszerrel, de például a milliárdos letöltésszámú Xiaomi File Manager, valamint az ötszázmillió ember által letöltött WPS Office feltörhetőnek bizonyult, a fejlesztők már dolgoznak a hibák kijavításán.
A Microsoft és a Google tájékoztató oldalt készítettek a fejlesztők számára a Dirty Stream kapcsán, amelyből azok megérthetik, hogy miként tudják ellenállóvá tenni vele szemben az appjaikat.