攻擊 Android 裝置新招數：Ｍan-in-the-Disk

行動裝置上常見的安全漏洞多半來自網頁或是作業系統深層的缺陷，但知名資安公司 Check Point 最近發現，由於 Android 裝置對於存取外部儲存空間沒有限制，讓惡意軟體有了可趁之機。

一般而言，Android app 最好儘可能使用裝置內部的儲存空間，這樣便能受到 Google 沙箱機制保護，避免感染病毒。然而有些 app 沒有照規矩來，不但重度倚賴外部儲存空間，且沒有盡心驗證外部儲存空間上的資料。駭客便利用其薄弱的安全防護措施來操控資料並造成破壞，Check Point 把這種攻擊方式稱為 Man-in-the-Disk。

這種攻擊方式通常先誘導使用者下載一個看似無害的 app（例如手電筒 app），其中含有駭客的漏洞攻擊腳本。這些偽裝 app 在安裝時會請求對外部儲存空間的存取權限，這類請求在一般安裝 app 時很常見，不會引起使用者懷疑。之後當合法的 app 更新檢查程序開始時，這款惡意程序會開始存取外部儲存空間上的資料，以進行非法行為，包括下載惡意軟體而非下載更新，進行阻斷服務攻擊，或是插入有害程式碼以癱瘓 app 。

Check Point 指出，就算是大型開發商所推出的知名應用程式，也有這類安全性漏洞。如 Google 翻譯、語音輸入文字，及 Google 文字轉語音等，對於外部儲存空間的存取安全管控能力都很糟糕，遑論其他應用程式。

Google 和其他開發者皆表示已經或正在修補相關漏洞。由於 Android 裝置的外部儲存空間是公共區域，裝置上任何 app 都可以查看和修改，Android 對外部儲存空間資料並無內建保護措施，只對開發者合理使用資源給出指南和參考，故目前還沒有通用的修復方法。現階段的最佳防禦措施，就是不要下載可疑的 app、不要隨便授權應用程式，並儘可能頻繁更新值得信賴的 app。