有惡意軟體針對支援外部儲存的 Android 裝置
「Man-in-the-disk」攻擊會安裝惡意軟體或阻止安裝正當的 app。
Eric Chan , @erichankc
31 分鐘前
常見針對於行動裝置的安全漏洞，都是來自網頁或是作業系統深層的
缺陷而引致，但根據 Check Point 最近的發現，有惡意軟體看準了
各裝置於支援外部儲存方面的安全疏忽，可以藉此控制手機。
一般 app 都會放在 Android 裝置的內部儲存空間，並會受 Google
沙盒保護避免感染病毒，可是有些開發者卻沒有按照 Google 的外部
儲存指引來保護 app，讓駭客可以利用這薄弱的安全防護措施來操縱
數據和造成破壞，Check Point 把這方式命名為「man-in-the-disk
」攻擊。
這種攻擊會先喬裝成一個看似平平無奇的 app（像是手電筒），但卻
會向使用者要求授權存取儲存空間的權限，然後當其他正常的 app
檢查更新時，這問題軟體就會開始作惡，包括下載惡意軟體而非下載
更新，對 app 進行 DDoS 攻擊或是插入有害代碼到應用程式裡。
不幸地，Check Point 指不少來自大量大型開發者的產品都有機會成
為這惡意軟體的溫床，包括 Google 翻譯、Google 文字轉語音、小
米瀏覽器和 Yandex Translate 等多個應用程式。
Google 和其他開發者都表示已經或正在修補相關漏洞，但更令人頭
痛的是 Play Store 上還有數百萬個其他 app 沒有被驗證過是否藏
有這漏洞，看來只有 Google 在 Android 系統裡都加入掃描外部儲
存空間的功能才可以。在這新功能出現之前，各位 Android 裝置的
使用者就只能自己小心一點，不要直接下載形跡可疑的 app、不要胡
亂向應用程式授權以及經常更新裝置和 app 囉。
https://engt.co/2w3XtL9
大家用手機真的要很小心，今天才有新聞在說不上Google Play會有安全性問題
現在看來Google的查核好像也不夠完善啊，消費者面的話
只能如文中所說的別輕易給太多授權或是改用其他作業系統的手機吧