安全研究人员声称使用Google Play Store中的一款热门应用ShareIt在你所有设备之间共享文件,可能会带来一些不必要的安全风险。ShareIt被发现有许多缺陷,很容易被利用来窃取你的数据或在你的Android设备上安装不需要的应用程序。
对于谷歌移动操作系统的粉丝来说,Android恶意软件并不是什么新鲜事,但一款名为ShareIt的热门应用中新发现的一组漏洞令人担忧。根据趋势科技的报告,这些漏洞可以被滥用来提取用户的敏感信息,以及使用应用程序的权限执行任意代码。
对于那些不知道的人来说,联想最初开发ShareIt是为了让用户在互联网连接的设备之间轻松共享文件。目前,它由位于新加坡的软件公司Smart Media 4U Technology开发。根据App Annie的数据,它在全球多个操作系统的下载量超过18亿次,仅Play Store上就有10亿次。
安全研究人员指出,其中一个缺陷源于该应用通过使用Android的FileProvider组件来促进文件传输功能。此外,该应用还请求访问整个存储以及无关的东西,比如摄像头、麦克风和你的设备位置。
除此之外,ShareIt还具有可发现的使用URL的深度链接,这些链接会提供某些功能,如下载和安装APK文件、创建账户和设置密码,这很容易被恶意行为者利用,进行远程代码执行。该应用也没有强制HTTPS进行链接,就为它打开了更多的攻击方法。
趋势科技向该应用的开发者报告了这些漏洞,但在三个月后没有收到任何回应。研究人员建议用户卸载该应用,但如果你的设备都连接到同一个Wi-Fi网络,你也可以使用谷歌自己的文件管理器应用来实现几乎相同的文件共享功能。