常見針對於行動裝置的安全漏洞,都是來自網頁或是作業系統深層的缺陷而引致,但根據 Check Point 最近的發現,有惡意軟體看準了各裝置於支援外部儲存方面的安全疏忽,可以藉此控制手機。一般 app 都會放在 Android 裝置的內部儲存空間,並會受 Google 沙盒保護避免感染病毒,可是有些開發者卻沒有按照 Google 的外部儲存指引來保護 app,讓駭客可以利用這薄弱的安全防護措施來操縱數據和造成破壞,Check Point 把這方式命名為「man-in-the-disk」攻擊。
這種攻擊會先喬裝成一個看似平平無奇的 app(像是手電筒),但卻會向使用者要求授權存取儲存空間的權限,然後當其他正常的 app 檢查更新時,這問題軟體就會開始作惡,包括下載惡意軟體而非下載更新,對 app 進行 DDoS 攻擊或是插入有害代碼到應用程式裡。
不幸地,Check Point 指不少來自大量大型開發者的產品都有機會成為這惡意軟體的溫床,包括 Google 翻譯、Google 文字轉語音、小米瀏覽器和 Yandex Translate 等多個應用程式。
Google 和其他開發者都表示已經或正在修補相關漏洞,但更令人頭痛的是 Play Store 上還有數百萬個其他 app 沒有被驗證過是否藏有這漏洞,看來只有 Google 在 Android 系統裡都加入掃描外部儲存空間的功能才可以。在這新功能出現之前,各位 Android 裝置的使用者就只能自己小心一點,不要直接下載形跡可疑的 app、不要胡亂向應用程式授權以及經常更新裝置和 app 囉。
這種攻擊會先喬裝成一個看似平平無奇的 app(像是手電筒),但卻會向使用者要求授權存取儲存空間的權限,然後當其他正常的 app 檢查更新時,這問題軟體就會開始作惡,包括下載惡意軟體而非下載更新,對 app 進行 DDoS 攻擊或是插入有害代碼到應用程式裡。
不幸地,Check Point 指不少來自大量大型開發者的產品都有機會成為這惡意軟體的溫床,包括 Google 翻譯、Google 文字轉語音、小米瀏覽器和 Yandex Translate 等多個應用程式。
Google 和其他開發者都表示已經或正在修補相關漏洞,但更令人頭痛的是 Play Store 上還有數百萬個其他 app 沒有被驗證過是否藏有這漏洞,看來只有 Google 在 Android 系統裡都加入掃描外部儲存空間的功能才可以。在這新功能出現之前,各位 Android 裝置的使用者就只能自己小心一點,不要直接下載形跡可疑的 app、不要胡亂向應用程式授權以及經常更新裝置和 app 囉。