安全研究人員聲稱使用Google Play Store中的一款熱門應用ShareIt在你所有設備之間共享文件,可能會帶來一些不必要的安全風險。ShareIt被發現有許多缺陷,很容易被利用來竊取你的數據或在你的Android設備上安裝不需要的應用程序。
對於Google移動操作系統的粉絲來說,Android惡意軟件並不是什麼新鮮事,但一款名為ShareIt的熱門應用中新發現的一組漏洞令人擔憂。根據趨勢科技的報告,這些漏洞可以被濫用來提取用戶的敏感信息,以及使用應用程序的權限執行任意代碼。
對於那些不知道的人來說,聯想最初開發ShareIt是為了讓用戶在互聯網連接的設備之間輕松共享文件。目前,它由位於新加坡的軟件公司Smart Media 4U Technology開發。根據App Annie的數據,它在全球多個操作系統的下載量超過18億次,僅Play Store上就有10億次。
安全研究人員指出,其中一個缺陷源於該應用通過使用Android的FileProvider組件來促進文件傳輸功能。此外,該應用還請求訪問整個存儲以及無關的東西,比如攝像頭、麥克風和你的設備位置。
除此之外,ShareIt還具有可發現的使用URL的深度鏈接,這些鏈接會提供某些功能,如下載和安裝APK文件、創建賬戶和設置密碼,這很容易被惡意行為者利用,進行遠程代碼執行。該應用也沒有強制HTTPS進行鏈接,就為它打開了更多的攻擊方法。
趨勢科技向該應用的開發者報告了這些漏洞,但在三個月後沒有收到任何回應。研究人員建議用戶卸載該應用,但如果你的設備都連接到同一個Wi-Fi網絡,你也可以使用Google自己的文件管理器應用來實現幾乎相同的文件共享功能。
來源:cnBeta
