谷歌Android Market存在严重漏洞

　　北京时间3月9日消息，据国外媒体报道，美国安全公司Duo Security联合创始人兼CTO乔恩•奥博海德在谷歌Android Market中发现了严重漏洞，正是该漏洞引发了日前“黑客通过散布恶意应用来控制用户设备”一事。目前谷歌已经修复了这个漏洞。

　　奥本海德建议谷歌推出一种在应用安装前进行验证的相关机制。他声称已于二月中旬将该漏洞通知谷歌：由于无需手机验证，攻击者就可以借助欺骗用户点击恶意链接的方式，向该用户的手机中植入恶意程序。

　　奥本海德表示，通过欺骗用户点击恶意链接的方式来远程安装恶意应用很容易实现，“这一漏洞遍布所有的Android设备，无论何种版本或何种架构”。同时，他还对此前没有人发现这一漏洞感到惊讶，因为“这种漏洞在网站中很常见”。

　　Android Market允许用户在用桌面电脑浏览该网站时，向Android手机远程安装新应用。这一机制可谓有利也有弊，因为它再为用户提供方便的同时也会被攻击者所利用。

　　谷歌于上周末正式回应了“Android Market恶意程序事件”，声明已经从Android Market撤下58款恶意应用，并将从26万部Android设备中远程删除这些应用。同时公司还宣布将推出一项名为“远程删除”的功能来对遭受感染的 Android设备进行补救。

　　据悉，谷歌为奥本海德此次的贡献提供了1337美元的奖金。同时谷歌也表示，今后将继续奖励高质量的Web应用安全研究。