时间:2014-07-03 14:33:55 来源: 复制分享
北京时间3月9日消息,据国外媒体报道,美国安全公司Duo Security联合创始人兼CTO乔恩•奥博海德在谷歌Android Market中发现了严重漏洞,正是该漏洞引发了日前“黑客通过散布恶意应用来控制用户设备”一事。目前谷歌已经修复了这个漏洞。
奥本海德建议谷歌推出一种在应用安装前进行验证的相关机制。他声称已于二月中旬将该漏洞通知谷歌:由于无需手机验证,攻击者就可以借助欺骗用户点击恶意链接的方式,向该用户的手机中植入恶意程序。
奥本海德表示,通过欺骗用户点击恶意链接的方式来远程安装恶意应用很容易实现,“这一漏洞遍布所有的Android设备,无论何种版本或何种架构”。同时,他还对此前没有人发现这一漏洞感到惊讶,因为“这种漏洞在网站中很常见”。
Android Market允许用户在用桌面电脑浏览该网站时,向Android手机远程安装新应用。这一机制可谓有利也有弊,因为它再为用户提供方便的同时也会被攻击者所利用。
谷歌于上周末正式回应了“Android Market恶意程序事件”,声明已经从Android Market撤下58款恶意应用,并将从26万部Android设备中远程删除这些应用。同时公司还宣布将推出一项名为“远程删除”的功能来对遭受感染的 Android设备进行补救。
据悉,谷歌为奥本海德此次的贡献提供了1337美元的奖金。同时谷歌也表示,今后将继续奖励高质量的Web应用安全研究。