חוקרי אבטחה במיקרוסופט חשפו פרצת אבטחה חמורה במערכת אנדרואיד, שמאפשרת לתוקפים להשתלט על אפליקציות פופולריות. הפרצה, שזכתה לכינוי "Dirty Stream" (זרם מלוכלך), מאפשרת להעביר קבצים זדוניים מאפליקציה זדונית לאפליקציה אחרת, ובאמצעותם לבצע פעולות זדוניות במכשיר, כמו גניבת מידע או השתלטות מלאה.
לפי הפרסום, הפרצה נוצרת עקב שימוש לא נכון במנגנון ה-Content Provider של אנדרואיד - שנועד לאפשר שיתוף בטוח של מידע בין אפליקציות שונות, ואמור למנוע גישה לא מורשאת למידע. עם זאת, החוקרים מצאו כי המערכת אינה מסוגלת להבחין בין קבצים לגיטימיים לקוד זדוני. כתוצאה מכך, האקרים יכולים לנצל פגיעות אלו כדי לשתול קוד זדוני במערכת, תוך התחזות לקוד חוקי.
"זיהינו מספר אפליקציות פגיעות בחנות Play של גוגל עם מעל 4 מיליארד התקנות", נכתב בדוח. "אנחנו מעריכים כי פרצת אבטחה זו עלולה להימצא באפליקציות נוספות. אנו משתפים מחקר זה כדי שמפתחים יוכלו לבדוק את האפליקציות שלהם, לתקן את הליקויים ולמנוע הטמעה של פרצות דומות בעתיד".
דוגמאות לאפליקציות פגיעות שצוינו בדוח הן אפליקציית ניהול הקבצים של שיאומי עם למעלה ממיליארד התקנות ו-WPS Office עם כחצי מיליארד התקנות. שתי החברות שיתפו פעולה עם מיקרוסופט כדי לפתח תיקונים לסגירת הפרצה - שנסגרו באופן אוטומטי.