新浪科技訊 北京時(shí)間3月8日下午消息,谷歌(GOOG,591.66,-1.49%)已經(jīng)修復(fù)了Android Market中的一個(gè)漏洞,該漏洞使得黑客能夠通過(guò)散布惡意應(yīng)用來(lái)控制設(shè)備。
“自從Android Web Market今年早些時(shí)候發(fā)布以來(lái),通過(guò)欺騙用戶點(diǎn)擊惡意鏈接的方式來(lái)遠(yuǎn)程安裝惡意應(yīng)用就成為可能。”美國(guó)安全公司Duo Security聯(lián)合創(chuàng)始人兼CTO喬恩·奧博海德(Jon Oberheide)在博客中說(shuō),“這一漏洞遍布所有的Android設(shè)備,無(wú)論何種版本或何種架構(gòu)。”
奧本海德認(rèn)為,這種XSS漏洞非常簡(jiǎn)單,在網(wǎng)站中很常見(jiàn),因此他對(duì)此前沒(méi)有人發(fā)現(xiàn)這一漏洞感到驚訝。
Android Market允許用戶在用桌面電腦瀏覽該網(wǎng)站時(shí),向Android手機(jī)遠(yuǎn)程安裝新應(yīng)用。這雖然為用戶提供了方便,但同時(shí)也會(huì)被攻擊者利用。由于無(wú)需通過(guò)手機(jī)驗(yàn)證,因此攻擊者可以借助誘騙用戶點(diǎn)擊惡意鏈接的方式,悄無(wú)聲息地將惡意應(yīng)用安裝到該用戶的手機(jī)中。
奧本海德認(rèn)為,谷歌應(yīng)該推出一種機(jī)制,在應(yīng)用安裝前進(jìn)行驗(yàn)證。他已于二月中旬將該漏洞通知谷歌,谷歌則在一周前修復(fù)了這一漏洞。
雖然谷歌為奧本海德提供了1337美元作為酬謝,但是當(dāng)他得知,如果借助該漏洞在Pwn20wn黑客競(jìng)賽中獲勝,可以獲得1.5萬(wàn)美元的獎(jiǎng)金時(shí),不免懊悔。
谷歌表示,仍將為高質(zhì)量的Web應(yīng)用安全研究提供獎(jiǎng)勵(lì)。
谷歌上周末剛剛宣布,已經(jīng)從Android Market撤下58款?lèi)阂鈶?yīng)用,并將從26萬(wàn)部Android設(shè)備中遠(yuǎn)程刪除這些應(yīng)用。