微软信息安全专家Dimitrios Valsamaras发现了包括红米手机在内的所有的小米手机均存在一个致命缺陷，其默认安装的应用程序小米文件管理器可以导致手机数据被泄漏甚至被远程控制的风险。

微软安全专家将该漏洞命名为脏流攻击（Dirty Stream），Dimitrios Valsamaras强调了形势的严重性。他警告说，这种漏洞模式可能会导致可怕的后果，攻击者可以在小米手机上执行任意代码。

从本质上说，该漏洞就相当于可以赋予攻击者控制应用程序的权利，可以利用窃取的令牌未经授权访问敏感用户数据和在线帐户。

黑客可以远程将任何文件发送到设备，并在用户不知情的情况下替换系统数据。恶意代码可以用于各种目的，例如从图库中窃取照片和视频，获取包括银行APP在内的登录名和密码、短信，发送垃圾邮件，自动购买付费内容等等。

安全专家强调，Android系统已经内置了应用隔离机制，规范了手机上不同应用程序之间进行安全的数据交换。包括严格的数据隔离、使用分配给特定统一资源标识符(URIs)的权限，以及彻底验证文件路径以防止未经授权的访问等安全措施。

此次问题的根本原因是小米开发人员没有在应用程序中引入上述标准的Android文件安全隔离机制。

微软披露了导致漏洞的具体文件：

• File Manager (com.xiaomi.fileexplorer)
• Gallery (com.MIUI.gallery)
• GetApps (com.xiaomi.mipicks)
• Mi Video (com.miui.videoplayer)
• MIUI Bluetooth (com.xiaomi.bluetooth)
• Phone Services (com.android.phone)
• Print Spooler (com.android.printspooler)
• Security (com.miui.securitycenter)
• Security Core Component (com.miui.securitycore)
• Settings (com.android.settings)
• ShareMe (com.xiaomi.midrop)
• System Tracing (com.android.traceur)
• Xiaomi Cloud (com.miui.cloudservice)

安全专家称这是开发人员粗心大意的忽视了开发中的安全问题导致的。漏洞披露后谷歌已经意识到事态的严重性，向开发者发布了指导意见，强调了安全机制的重要性。

除小米外，微软还在金山的WPS Office应用软件上也发现了同样的问题，其他手机及应用程序尚未发现类似情况。

小米和WPS Office回应称已经采取了积极的措施来解决该漏洞。

后记：由于米粉质疑，现将原文截图贴出（翻译内容是：虽然Android为每个应用程序分配自己的专用数据和内存空间来实现隔离，，但开发者的疏忽可能会绕过应用程序主目录中的读/写限制。）