下載量超 10 億的 Android 應用被曝安全漏洞，三個月仍未修復

一個被下載超過 10 億次的 Android 應用程序包含了未修補的漏洞，而這個包含漏洞的應用程序的修復時間已經超過了三個月。

這些漏洞影響了 Android 版本的 SHAREit，一個容許用戶與朋友或我的設備共享文件的移動應用程序。

該漏洞可向應用發送惡意命令，擅自安裝第三方應用

安全公司 Trend Micro 分析師 Echo Duan 在一份報告中說，這些漏洞能夠被用來在安裝了 SHAREit 應用程序的智能手機上運行惡意代碼。
Echo Duan 表示，安裝在用戶設備上的惡意應用程序，或者進行中間人網絡攻擊的攻擊者，能夠向 SHAREit 應用程序發送惡意命令，劫持其合法功能，以運行定製代碼，覆蓋應用程序的本地文件，或者在用戶不知情的狀況下安裝第三方應用程序。

此外，這款應用還容易受到所謂的「Man-in-the-Disk」攻擊，Check Point 在 2018 年首次描述了這種攻擊，主要是在手機存儲空間與其餘應用共享的位置存儲敏感的應用資源，這些資源可能會被刪除、編輯或被攻擊者替換。

應用程序製造商三個月內未迴應漏洞事件

Echo Duan 稱，「咱們嚮應用程序製造商報告了這些漏洞，但他們至今尚未迴應。」

他補充說: 「咱們在報告此事三個月後決定公佈咱們的研究結果，由於不少用戶可能會受到這次攻擊的影響，由於攻擊者能夠竊取敏感數據。」同時他還指出，從防護者的角度來看，這些攻擊都很難被發現。

在其網站上，SHAREit 開發者聲稱他們的應用在全球200多個國家有18億用戶使用。這些漏洞不會影響運行在不一樣代碼庫上的 SHAREit iOS 應用程序。