趨勢科技在流行的ShareIt應用中發現多個安全漏洞
安全研究人員聲稱使用Google Play Store中的一款熱門應用ShareIt在你所有設備之間共享文件,可能會帶來一些不必要的安全風險。ShareIt被發現有許多缺陷,很容易被利用來竊取你的數據或在你的Android設備上安裝不需要的應用程序。
對於谷歌移動操作系統的粉絲來說,Android惡意軟件並不是什麼新鮮事,但一款名為ShareIt的熱門應用中新發現的一組漏洞令人擔憂。根據趨勢科技的報告,這些漏洞可以被濫用來提取用戶的敏感信息,以及使用應用程序的權限執行任意代碼。
對於那些不知道的人來說,聯想最初開發ShareIt是為了讓用戶在互聯網連接的設備之間輕鬆共享文件。目前,它由位於新加坡的軟件公司Smart Media 4U Technology開發。根據App Annie的數據,它在全球多個操作系統的下載量超過18億次,僅Play Store上就有10億次。
安全研究人員指出,其中一個缺陷源於該應用通過使用Android的FileProvider組件來促進文件傳輸功能。此外,該應用還請求訪問整個存儲以及無關的東西,比如攝像頭、麥克風和你的設備位置。
除此之外,ShareIt還具有可發現的使用URL的深度鏈接,這些鏈接會提供某些功能,如下載和安裝APK文件、創建賬戶和設置密碼,這很容易被惡意行為者利用,進行遠程代碼執行。該應用也沒有強制HTTPS進行鏈接,就為它打開了更多的攻擊方法。
趨勢科技向該應用的開發者報告了這些漏洞,但在三個月後沒有收到任何回應。研究人員建議用戶卸載該應用,但如果你的設備都連接到同一個Wi-Fi網絡,你也可以使用谷歌自己的文件管理器應用來實現幾乎相同的文件共享功能。