有惡意軟體針對支援外部儲存的 Android 裝置

常見針對於行動裝置的安全漏洞，都是來自網頁或是作業系統深層的缺陷而引致，但根據 Check Point 最近的發現，有惡意軟體看準了各裝置於支援外部儲存方面的安全疏忽，可以藉此控制手機。一般 app 都會放在 Android 裝置的內部儲存空間，並會受 Google 沙盒保護避免感染病毒，可是有些開發者卻沒有按照 Google 的外部儲存指引來保護 app，讓駭客可以利用這薄弱的安全防護措施來操縱數據和造成破壞，Check Point 把這方式命名為「man-in-the-disk」攻擊。

這種攻擊會先喬裝成一個看似平平無奇的 app（像是手電筒），但卻會向使用者要求授權存取儲存空間的權限，然後當其他正常的 app 檢查更新時，這問題軟體就會開始作惡，包括下載惡意軟體而非下載更新，對 app 進行 DDoS 攻擊或是插入有害代碼到應用程式裡。

不幸地，Check Point 指不少來自大量大型開發者的產品都有機會成為這惡意軟體的溫床，包括 Google 翻譯、Google 文字轉語音、小米瀏覽器和 Yandex Translate 等多個應用程式。

Google 和其他開發者都表示已經或正在修補相關漏洞，但更令人頭痛的是 Play Store 上還有數百萬個其他 app 沒有被驗證過是否藏有這漏洞，看來只有 Google 在 Android 系統裡都加入掃描外部儲存空間的功能才可以。在這新功能出現之前，各位 Android 裝置的使用者就只能自己小心一點，不要直接下載形跡可疑的 app、不要胡亂向應用程式授權以及經常更新裝置和 app 囉。

來源: Check Point, Def Con

經由: Wired, Engadget