彩虹下載站

首頁(yè) > 文章資訊 > 最新資訊

ShareIt的安全漏洞是切換到附近共享的另一個(gè)好理由

作者:佚名 來(lái)源:彩虹下載站 時(shí)間:2021-02-22

流行的文件共享應(yīng)用ShareIt在一周內(nèi)因存在多個(gè)漏洞而受到批評(píng),這些漏洞如果被利用,可能會(huì)使不良行為者竊取您的數(shù)據(jù)。在后分享這些漏洞(通過(guò)Ars Technica的),研究人員在趨勢(shì)科技說(shuō):這些漏洞可能被濫用以泄漏用戶的敏感數(shù)據(jù),并通過(guò)使用惡意代碼或應(yīng)用程序以SHAREit權(quán)限執(zhí)行任意代碼。它們還

流行的文件共享應(yīng)用ShareIt在一周內(nèi)因存在多個(gè)漏洞而受到批評(píng),這些漏洞如果被利用,可能會(huì)使不良行為者竊取您的數(shù)據(jù)。

ShareIt的安全漏洞是切換到附近共享的另一個(gè)好理由

在后分享這些漏洞(通過(guò)Ars Technica的),研究人員在趨勢(shì)科技說(shuō):

這些漏洞可能被濫用以泄漏用戶的敏感數(shù)據(jù),并通過(guò)使用惡意代碼或應(yīng)用程序以SHAREit權(quán)限執(zhí)行任意代碼。它們還可能導(dǎo)致遠(yuǎn)程執(zhí)行代碼(RCE)。

大多數(shù)危險(xiǎn)來(lái)自ShareIt作為各種文件管理器的地位。該應(yīng)用程序允許用戶與其他用戶遠(yuǎn)程共享文件,因?yàn)樗哂泻芏鄼?quán)限。它需要能夠有效地查看所有文件和應(yīng)用程序,還需要網(wǎng)絡(luò)訪問(wèn)權(quán)限。歸根結(jié)底,ShareIt擁有強(qiáng)大的功能,但不能適當(dāng)?shù)乇Wo(hù)它。

ShareIt的安全漏洞是切換到附近共享的另一個(gè)好理由

由于該應(yīng)用程序的編碼方式,ShareIt現(xiàn)在可以將文件提供給請(qǐng)求該應(yīng)用程序的第三方應(yīng)用程序,甚至包括那些不希望共享的私有應(yīng)用程序。趨勢(shì)科技指出,“任何第三方實(shí)體仍然可以對(duì)內(nèi)容提供商的數(shù)據(jù)獲得臨時(shí)的讀/寫(xiě)訪問(wèn)權(quán)限。” 并且“ / data / data /中的所有文件 可以免費(fèi)訪問(wèn)該文件夾。”這意味著惡意開(kāi)發(fā)人員可以構(gòu)建應(yīng)用并獲得對(duì)ShareIt所有文件緩存的訪問(wèn)權(quán)限。然后,該開(kāi)發(fā)人員可以使用該訪問(wèn)權(quán)限通過(guò)編寫(xiě)和交換自己的假應(yīng)用緩存文件來(lái)運(yùn)行遠(yuǎn)程代碼執(zhí)行,根據(jù)研究人員。

趨勢(shì)科技還指出,ShareIt容易受到中級(jí)攻擊者的攻擊。當(dāng)通過(guò)ShareIt自己的應(yīng)用安裝程序下載要安裝的應(yīng)用程序時(shí),行為不端的人可以用自己選擇的APK替換下載的APK,ShareIt會(huì)同樣進(jìn)行安裝。一旦安裝了重復(fù)的APK,目標(biāo)用戶的憑據(jù)就可能被盜,類似于為網(wǎng)絡(luò)釣魚(yú)創(chuàng)建的網(wǎng)站。

ShareIt的安全漏洞是切換到附近共享的另一個(gè)好理由

趨勢(shì)科技的研究人員確實(shí)說(shuō)這些漏洞可能是無(wú)意的,但他們還指出:

我們已將這些漏洞報(bào)告給了尚未響應(yīng)的供應(yīng)商。我們決定在報(bào)告此事后三個(gè)月披露我們的研究,因?yàn)樵S多用戶可能會(huì)受到此攻擊的影響,因?yàn)楣粽呖梢愿`取敏感數(shù)據(jù)并在應(yīng)用程序允許的情況下執(zhí)行任何操作。它也不容易被檢測(cè)到。

雖然擁有安全漏洞并不是犯罪,但ShareIt缺乏響應(yīng)和對(duì)情況的認(rèn)可令人擔(dān)憂。如果您是主要與其他Android用戶共享文件的Android用戶,則可以輕松地將ShareIt替換為Google的本機(jī)“附近共享”。它已經(jīng)內(nèi)置在大多數(shù)Android手機(jī)中,現(xiàn)在除了文件之外還可以共享應(yīng)用程序,并且可以通過(guò)共享表免費(fèi)訪問(wèn),就像Apple的AirDrop,

 

但是Google的易用性并不是您要跳到ShareIt的唯一原因。該應(yīng)用程序已經(jīng)在印度被禁止使用,美國(guó)的禁令可能只有幾天的時(shí)間,除非現(xiàn)任政府做出任何更改。