常见针对于行动装置的安全漏洞，都是来自网页或是作业系统深层的缺陷而引致，但根据 Check Point 最近的发现，有恶意软体看准了各装置于支援外部储存方面的安全疏忽，可以借此控制手机。

一般 app 都会放在 Android 装置的内部储存空间，并会受 Google 沙盒保护避免感染病毒，可是有些开发者却没有按照 Google 的外部储存指引来保护 app，让骇客可以利用这薄弱的安全防护措施来操纵数据和造成破坏，Check Point 把这方式命名为「man-in-the-disk」攻击。

这种攻击会先乔装成一个看似平平无奇的 app（像是手电筒），但却会向使用者要求授权存取储存空间的权限，然后当其他正常的 app 检查更新时，这问题软体就会开始作恶，包括下载恶意软体而非下载更新，对 app 进行 DDoS 攻击或是插入有害代码到应用程式里。

不幸地，Check Point 指不少来自大量大型开发者的产品都有机会成为这恶意软体的温床，包括 Google 翻译、Google 文字转语音、小米浏览器和 Yandex Translate 等多个应用程式。

Google 和其他开发者都表示已经或正在修补相关漏洞，但更令人头痛的是 Play Store 上还有数百万个其他 app 没有被验证过是否藏有这漏洞，看来只有 Google 在 Android 系统里都加入扫描外部储存空间的功能才可以。在这新功能出现之前，各位 Android 装置的使用者就只能自己小心一点，不要直接下载形迹可疑的 app、不要胡乱向应用程式授权以及经常更新装置和 app 啰。

Check Point, Def Con