下载量超 10 亿的 Android 应用被曝安全漏洞,三个月仍未修复

芒果果 2021/2/17 14:11:28

一个被下载超过 10 亿次的 Android 应用程序包含了未修补的漏洞,而这个包含漏洞的应用程序的修复时间已经超过了三个月。这些漏洞影响了 Android 版本的 SHAREit,一个允许用户与朋友或个人设备共享文件的移动应用程序。该漏洞可向应用发送恶意命令,擅自安装第三方应用安…

下载量超 10 亿的 Android 应用被曝安全漏洞,三个月仍未修复

一个被下载超过 10 亿次的 Android 应用程序包含了未修补的漏洞,而这个包含漏洞的应用程序的修复时间已经超过了三个月。

这些漏洞影响了 Android 版本的 SHAREit,一个允许用户与朋友或个人设备共享文件的移动应用程序。

该漏洞可向应用发送恶意命令,擅自安装第三方应用

安全公司 Trend Micro 分析师 Echo Duan 在一份报告中说,这些漏洞可以被用来在安装了 SHAREit 应用程序的智能手机上运行恶意代码。
Echo Duan 表示,安装在用户设备上的恶意应用程序,或者进行中间人网络攻击的攻击者,可以向 SHAREit 应用程序发送恶意命令,劫持其合法功能,以运行定制代码,覆盖应用程序的本地文件,或者在用户不知情的情况下安装第三方应用程序。

此外,这款应用还容易受到所谓的“Man-in-the-Disk”攻击,Check Point 在 2018 年首次描述了这种攻击,主要是在手机存储空间与其他应用共享的位置存储敏感的应用资源,这些资源可能会被删除、编辑或被攻击者替换。

应用程序制造商三个月内未回应漏洞事件

Echo Duan 称,“我们向应用程序制造商报告了这些漏洞,但他们至今还没有回应。”

他补充说: “我们在报告此事三个月后决定公布我们的研究结果,因为很多用户可能会受到此次攻击的影响,因为攻击者可以窃取敏感数据。”同时他还指出,从防御者的角度来看,这些攻击都很难被发现。

在其网站上,SHAREit 开发者声称他们的应用在全球200多个国家有18亿用户使用。这些漏洞不会影响运行在不同代码库上的 SHAREit iOS 应用程序。

segmentfault 公众号

随时随地学软件编程-关注百度小程序和微信小程序
关于找一找教程网

本站文章仅代表作者观点,不代表本站立场,所有文章非营利性免费分享。
本站提供了软件编程、网站开发技术、服务器运维、人工智能等等IT技术文章,希望广大程序员努力学习,让我们用科技改变世界。
[下载量超 10 亿的 Android 应用被曝安全漏洞,三个月仍未修复]http://www.zyiz.net/tech/detail-151894.html

上一篇:分析 AGI 纹理数据并提升 GPU 性能

下一篇:Android 12 有哪些新功能?开发人员测试版本即将发布

赞(0)

共有 条评论 网友评论

验证码: 看不清楚?
    关注微信小程序
    程序员编程王-随时随地学编程

    扫描二维码或查找【程序员编程王】

    可以随时随地学编程啦!

    技术文章导航 更多>
    扫一扫关注最新编程教程