共计 654 个字符,预计需要花费 2 分钟才能阅读完成。
一个被下载超过 10 亿次的 Android 应用程序蕴含了未修补的破绽,而这个蕴含破绽的应用程序的修复工夫曾经超过了三个月。
这些破绽影响了 Android 版本的 SHAREit,一个容许用户与敌人或集体设施共享文件的挪动应用程序。
该破绽可向利用发送歹意命令,擅自装置第三方利用
平安公司 Trend Micro 分析师 Echo Duan 在一份报告中说,这些破绽能够被用来在装置了 SHAREit 应用程序的智能手机上运行恶意代码。
Echo Duan 示意,装置在用户设施上的歹意应用程序,或者进行中间人网络攻击的攻击者,能够向 SHAREit 应用程序发送歹意命令,劫持其非法性能,以运行定制代码,笼罩应用程序的本地文件,或者在用户不知情的状况下装置第三方应用程序。
此外,这款利用还容易受到所谓的“Man-in-the-Disk”攻打,Check Point 在 2018 年首次形容了这种攻打,次要是在手机存储空间与其余利用共享的地位存储敏感的利用资源,这些资源可能会被删除、编辑或被攻击者替换。
应用程序制造商三个月内未回应破绽事件
Echo Duan 称,“咱们向应用程序制造商报告了这些破绽,但他们至今还没有回应。”
他补充说:“咱们在报告此事三个月后决定颁布咱们的钻研后果,因为很多用户可能会受到此次攻打的影响,因为攻击者能够窃取敏感数据。”同时他还指出,从防御者的角度来看,这些攻打都很难被发现。
在其网站上,SHAREit 开发者宣称他们的利用在寰球 200 多个国家有 18 亿用户应用。这些破绽不会影响运行在不同代码库上的 SHAREit iOS 应用程序。
正文完
