如果您在手机上使用ShareIt应用程序，则可能需要立即将其卸载。网络安全巨头趋势科技(Trend Micro)在文件共享应用程序中发现了明显的安全漏洞，这些安全漏洞“被滥用以泄露用户的敏感数据并使用ShareIt权限执行任意代码。”

在有关此事的报告中，趋势科技(通过Ars Technica)透露，由于ShareIt提供的功能，它可以访问Android上的大量权限。该应用程序可以访问整个存储设备和所有媒体，使用相机和麦克风，访问位置信息等等。它甚至可以删除其他应用程序，在启动时运行，创建帐户以及设置密码。此外，ShareIt还具有完整的网络访问权限。由于存在大量权限，因此破坏应用程序可以帮助攻击者几乎完全访问您的手机和所有敏感信息。它还使攻击者可以远程执行恶意代码。

详细介绍了其中一个漏洞，Ars Technica揭示了ShareIt具有一个常见的Android应用程序漏洞，该漏洞可以使攻击者对其所有文件具有读/写访问权限。该出版物指出：“ Android对应用程序内部通信感到自豪，部分原因是任何应用程序都可以创建内容提供商，并将其内容和服务提供给其他应用程序。如果Gmail希望将文件附加到电子邮件，则可以通过显示手机上安装的可用文件内容提供商的列表(基本上是“打开方式”对话框)来做到这一点，并且用户可以选择自己喜欢的文件管理器，浏览其存储空间，然后将所需的文件传递给Gmail。开发人员有责任清除这些跨应用程序功能，并仅将必要的文件管理器功能公开给Gmail和其他应用程序。”

但是，ShareIt背后的开发人员并未过多地考虑限制应用程序的内容提供者功能，这可以使攻击者访问ShareIt的“私有”目录中的所有文件。实际上，此漏洞使攻击者可以调用ShareIt的文件内容提供程序并将其传递给文件路径以访问其所有数据文件。这允许第三方应用程序编辑ShareIt用于运行的数据，包括在安装和运行时生成的应用程序缓存。趋势科技声称“攻击者可能制作伪造的[应用程序缓存]文件，然后通过上述漏洞替换那些文件以执行代码执行。”

由于ShareIt还具有Android应用安装程序，因此它也容易受到“磁盘上的人”攻击。由于上述漏洞，攻击者能够在下载安装包后立即将其与恶意应用交换出去。这可能会导致用户在不知不觉中在其设备上安装恶意应用程序。此外，ShareIt的游戏商店还可以通过不安全的HTTP下载应用程序数据。这可能会受到“中间人”攻击。正如 Ars Technica 解释的那样， “ ShareIt将自己注册为结束其域的任何链接的处理程序，例如“ wshareit.com”或“ gshare.cdn.shareitgames.com”，当用户单击下载链接时，它将自动弹出。大多数应用程序会将所有流量强制发送到HTTPS，但ShareIt不会。Chrome将关闭HTTP下载流量，因此必须通过除主浏览器之外的Web界面来完成。”

趋势科技已经向ShareIt报告了该漏洞，但到目前为止，其开发人员尚未发布任何补丁来解决该问题。我们建议您卸载应用程序，直到开发人员发布修复程序为止。在此之前，您可以使用Google的“文件”应用程序满足所有本地文件共享需求。