诞生于联想的茄子快传（SHAREit）是全球最流行的桌面和手机文件共享应用之一，可快速、轻松地在安装Android或Windows、IOS操作系统的计算机、智能手机、平板电脑或智能电视之间共享文件和文件夹。

近日，总部位于新加坡的Smart Media4U Technology表示，它修复了一周前趋势科技曝光的茄子快传（SHAREit）的多个安全漏洞，包括远程代码执行漏洞。

这些安全漏洞会影响该公司的SHAREit Android应用，根据Google Play商店的统计数据，该应用下载了10亿次以上。

“在2021年2月15日，我们注意到趋势科技关于应用程序中潜在安全漏洞的报告。” SHAREit在周五发布的新闻稿中说：“我们迅速研究了这份报告，并于2021年2月19日发布了补丁程序，以解决所谓的漏洞。”

但是根据趋势科技公布的消息，漏洞报告给厂商三个月后没有收到任何回应。

正如趋势科技移动威胁分析师Echo Duan和Jesse Chang所发现的那样，攻击者滥用了现已修复的安全漏洞，可以访问用户存储在运行脆弱版本的SHAREit的设备上的敏感信息。

通过恶意代码，攻击者可以滥用以执行具有SHAREit权限的任意代码，这意味着攻击者可以利用这些漏洞实施远程代码执行（RCE）攻击。

安全漏洞还使未打补丁的SHAREit版本的用户遭受磁盘中间人（Man-in-the-disk、MITD）攻击，从而使攻击者可以通过代码注入来操纵存储在外部存储上的应用程序资源。

在2019年，SHAREit还曾修补了另外两个安全漏洞，这些漏洞使攻击者可以绕过该应用程序的身份验证机制，并从易受攻击的设备下载任意用户文件。

参考资料

https://www.trendmicro.com/en_ca/research/21/b/shareit-flaw-could-lead-to-remote-code-execution.html