有恶意软件针对支援外部储存的 Android 装置
“Man-in-the-disk”攻击会安装恶意软件或阻止安装正当的 app。
Eric Chan , @erichankc
31 分钟前
常见针对于行动装置的安全漏洞，都是来自网页或是作业系统深层的
缺陷而引致，但根据 Check Point 最近的发现，有恶意软件看准了
各装置于支援外部储存方面的安全疏忽，可以借此控制手机。
一般 app 都会放在 Android 装置的内部储存空间，并会受 Google
沙盒保护避免感染病毒，可是有些开发者却没有按照 Google 的外部
储存指引来保护 app，让骇客可以利用这薄弱的安全防护措施来操纵
数据和造成破坏，Check Point 把这方式命名为“man-in-the-disk
”攻击。
这种攻击会先乔装成一个看似平平无奇的 app（像是手电筒），但却
会向使用者要求授权存取储存空间的权限，然后当其他正常的 app
检查更新时，这问题软件就会开始作恶，包括下载恶意软件而非下载
更新，对 app 进行 DDoS 攻击或是插入有害代码到应用程式里。
不幸地，Check Point 指不少来自大量大型开发者的产品都有机会成
为这恶意软件的温床，包括 Google 翻译、Google 文字转语音、小
米浏览器和 Yandex Translate 等多个应用程式。
Google 和其他开发者都表示已经或正在修补相关漏洞，但更令人头
痛的是 Play Store 上还有数百万个其他 app 没有被验证过是否藏
有这漏洞，看来只有 Google 在 Android 系统里都加入扫描外部储
存空间的功能才可以。在这新功能出现之前，各位 Android 装置的
使用者就只能自己小心一点，不要直接下载形迹可疑的 app、不要胡
乱向应用程式授权以及经常更新装置和 app 囉。
https://engt.co/2w3XtL9
大家用手机真的要很小心，今天才有新闻在说不上Google Play会有安全性问题
现在看来Google的查核好像也不够完善啊，消费者面的话
只能如文中所说的别轻易给太多授权或是改用其他作业系统的手机吧