下載量超 10 億的 Android 應(yīng)用被曝安全漏洞，三個(gè)月仍未修復(fù)

技術(shù)編輯：芒果果丨發(fā)自 思否編輯部

一個(gè)被下載超過 10 億次的 Android 應(yīng)用程序包含了未修補(bǔ)的漏洞，而這個(gè)包含漏洞的應(yīng)用程序的修復(fù)時(shí)間已經(jīng)超過了三個(gè)月。

這些漏洞影響了 Android 版本的 SHAREit，一個(gè)允許用戶與朋友或個(gè)人設(shè)備共享文件的移動(dòng)應(yīng)用程序。

該漏洞可向應(yīng)用發(fā)送惡意命令，擅自安裝第三方應(yīng)用

安全公司 Trend Micro 分析師 Echo Duan 在一份報(bào)告中說，這些漏洞可以被用來在安裝了 SHAREit 應(yīng)用程序的智能手機(jī)上運(yùn)行惡意代碼。

Echo Duan 表示，安裝在用戶設(shè)備上的惡意應(yīng)用程序，或者進(jìn)行中間人網(wǎng)絡(luò)攻擊的攻擊者，可以向 SHAREit 應(yīng)用程序發(fā)送惡意命令，劫持其合法功能，以運(yùn)行定制代碼，覆蓋應(yīng)用程序的本地文件，或者在用戶不知情的情況下安裝第三方應(yīng)用程序。

此外，這款應(yīng)用還容易受到所謂的“Man-in-the-Disk”攻擊，Check Point 在 2018 年首次描述了這種攻擊，主要是在手機(jī)存儲(chǔ)空間與其他應(yīng)用共享的位置存儲(chǔ)敏感的應(yīng)用資源，這些資源可能會(huì)被刪除、編輯或被攻擊者替換。

應(yīng)用程序制造商三個(gè)月內(nèi)未回應(yīng)漏洞事件

Echo Duan 稱，“我們向應(yīng)用程序制造商報(bào)告了這些漏洞，但他們至今還沒有回應(yīng)?！?/span>

他補(bǔ)充說: “我們?cè)趫?bào)告此事三個(gè)月后決定公布我們的研究結(jié)果，因?yàn)楹芏嘤脩艨赡軙?huì)受到此次攻擊的影響，因?yàn)楣粽呖梢愿`取敏感數(shù)據(jù)。”同時(shí)他還指出，從防御者的角度來看，這些攻擊都很難被發(fā)現(xiàn)。

在其網(wǎng)站上，SHAREit 開發(fā)者聲稱他們的應(yīng)用在全球200多個(gè)國家有18億用戶使用。這些漏洞不會(huì)影響運(yùn)行在不同代碼庫上的 SHAREit iOS 應(yīng)用程序。