一个被下载超过 10 亿次的 Android 应用程序包含了未修补的漏洞，而这个包含漏洞的应用程序的修复时间已经超过了三个月。

这些漏洞影响了 Android 版本的 SHAREit，一个允许用户与朋友或个人设备共享文件的移动应用程序。

该漏洞可向应用发送恶意命令，擅自安装第三方应用

安全公司 Trend Micro 分析师 Echo Duan 在一份报告中说，这些漏洞可以被用来在安装了 SHAREit 应用程序的智能手机上运行恶意代码。
Echo Duan 表示，安装在用户设备上的恶意应用程序，或者进行中间人网络攻击的攻击者，可以向 SHAREit 应用程序发送恶意命令，劫持其合法功能，以运行定制代码，覆盖应用程序的本地文件，或者在用户不知情的情况下安装第三方应用程序。

此外，这款应用还容易受到所谓的“Man-in-the-Disk”攻击，Check Point 在 2018 年首次描述了这种攻击，主要是在手机存储空间与其他应用共享的位置存储敏感的应用资源，这些资源可能会被删除、编辑或被攻击者替换。

应用程序制造商三个月内未回应漏洞事件

Echo Duan 称，“我们向应用程序制造商报告了这些漏洞，但他们至今还没有回应。”

他补充说: “我们在报告此事三个月后决定公布我们的研究结果，因为很多用户可能会受到此次攻击的影响，因为攻击者可以窃取敏感数据。”同时他还指出，从防御者的角度来看，这些攻击都很难被发现。

在其网站上，SHAREit 开发者声称他们的应用在全球200多个国家有18亿用户使用。这些漏洞不会影响运行在不同代码库上的 SHAREit iOS 应用程序。