●概述：
由於全球Android商品普及，針對性的攻擊技術與日俱增，以色列Check Point資安公司發現手機新弱點Man-in-the-Disk(MitD)，因外部貯存器(External Storage)為共享硬體資源，且不受沙箱保護，儲存資料易遭竄改，而導致app觸發Dos或者更新流程被劫持，以惡意程式覆蓋自動更新執行檔，Google翻譯、Google語音助理、俄羅斯Yandex搜尋引擎、Yandex翻譯、小米瀏覽器均具MitD漏洞。另羅馬尼亞BitDefende公司找出新型態間諜軟體framework，命名Triout，能建立強大監視力並隱藏在貌似合法的app內，Triout可蒐集電話錄音、簡訊、通聯記錄、錄影拍照檔案、GPS座標，送回C&C server，唯Triout作者身分、散播途徑、危害次數均不詳。結合MitD入侵途徑與Triout監視技術，對設備持有者隱私形成威脅，儘管Google已對旗下app完成修補，而小米沒打算理會這問題，想當然耳，仍有諸多軟體難以倖免。
●編註：
(1)Man-in-the-Disk入侵途徑
很多人熟悉中間人攻擊Man-in-the-Middle，但罕為聽聞Man-in-the-Disk(MitD)攻擊途徑，望文生義似乎是駭客躲在磁碟裡，實際上是將惡意程式置入外部貯存器(External Storage)，手機有內建記憶體Internal Storage，而輔助空間External Storage(硬碟、SD卡、USB儲媒)通常屬於眾多應用程式共享硬體資源，只要WRITE_EXTERNAL_STORAGE屬性設為許可，則高權限app可將暫存內容與常駐資料放進External Storage內，缺點是不受Android沙箱保護，硬體資源使用不慎，則開啟攻擊的入口。
據資安團隊Check Point分析，囿於開發者未恪守Android安全指南，始肇生此等設計瑕疵，讓惡意app能竄改正當程式所屬資料，而使用者本身習慣各式軟體互動對話框，總是不假思索地按下”同意”，才讓MitD攻擊威脅加劇，能造成正常app發生Dos，亦可劫持更新流程，覆蓋APK後擴權執行非法程式，經實測app樣本後，概分兩類入侵模式：
(1-1)crash型MitD
✔Google翻譯字典，離線翻譯包存於/storage/emulated/0/Android/data/com.google.android.apps.translate/files/olpv3/v5/25/r11/；
✔Google語音助理，語音辨識資料存於/storage/emulated/0/Android/data/com.google.android.googlequicksearchbox/files/download_cache/；
✔俄羅斯網路服務公司Yandex搜尋引擎，離線資料存於/storage/emulated/0/Android/data/ru.yandex.searchplugin/files/edge_search_dicts/；
✔Yandex翻譯字典，離線翻譯包存於/storage/emulated/0/Android/data/ru.yandex.translate/files/offline/translation/；
(1-2)濫用更新型MitD
▻小米瀏覽器，自動更新APK檔案存在/storage/emulated/0/Android/data/com.android.browser/files/update，攻擊者可在驗證階段結束後，以惡意版本覆蓋之。
(2)Triout間諜軟體框架
全球Android手機或平板電腦販售量增長極快，且配備有鏡頭、麥克風、定位裝置，常成為間諜工具染指目標，Bitdefender防毒軟體公司研究指出，一種新型間諜軟體framework，能在無害的程式內打造強大監視能力，重新包裹成貌似合法的app，該framework命名為Triout。今年5月中旬，Triout首見於俄羅斯，其後多次在以色列偵獲，目前散播途徑不詳，安裝次數未知，無跡證可判定攻擊者身分與國籍，現有惡意樣本源自2016年Google Play某個Android app，從Triout並未被模糊化原始碼可見，其開發者僅在測試效果，暗示著Triout能有進化可能。
Triout監控範圍甚廣，已知能力如後：
(2-1)側錄每通電話，連同通話者ID送回C&C server；
(2-2)紀錄簡訊本文即發送者，送回C&C server；
(2-3)蒐集通聯記錄傳回C&C server，含姓名、次數、日期、通話時間等；
(2-4)控制前後攝影鏡頭，錄影拍照後傳送；
(2-5)GPS座標定位資料，送回C&C server。