新浪科技訊 北京時間3月8日下午消息,谷歌(GOOG,591.66,-1.49%)已經(jīng)修復(fù)了Android Market中的一個漏洞,該漏洞使得黑客能夠通過散布惡意應(yīng)用來控制設(shè)備。
“自從Android Web Market今年早些時候發(fā)布以來,通過欺騙用戶點擊惡意鏈接的方式來遠(yuǎn)程安裝惡意應(yīng)用就成為可能。”美國安全公司Duo Security聯(lián)合創(chuàng)始人兼CTO喬恩·奧博海德(Jon Oberheide)在博客中說,“這一漏洞遍布所有的Android設(shè)備,無論何種版本或何種架構(gòu)。”
奧本海德認(rèn)為,這種XSS漏洞非常簡單,在網(wǎng)站中很常見,因此他對此前沒有人發(fā)現(xiàn)這一漏洞感到驚訝。
Android Market允許用戶在用桌面電腦瀏覽該網(wǎng)站時,向Android手機遠(yuǎn)程安裝新應(yīng)用。這雖然為用戶提供了方便,但同時也會被攻擊者利用。由于無需通過手機驗證,因此攻擊者可以借助誘騙用戶點擊惡意鏈接的方式,悄無聲息地將惡意應(yīng)用安裝到該用戶的手機中。
奧本海德認(rèn)為,谷歌應(yīng)該推出一種機制,在應(yīng)用安裝前進行驗證。他已于二月中旬將該漏洞通知谷歌,谷歌則在一周前修復(fù)了這一漏洞。
雖然谷歌為奧本海德提供了1337美元作為酬謝,但是當(dāng)他得知,如果借助該漏洞在Pwn20wn黑客競賽中獲勝,可以獲得1.5萬美元的獎金時,不免懊悔。
谷歌表示,仍將為高質(zhì)量的Web應(yīng)用安全研究提供獎勵。
谷歌上周末剛剛宣布,已經(jīng)從Android Market撤下58款惡意應(yīng)用,并將從26萬部Android設(shè)備中遠(yuǎn)程刪除這些應(yīng)用。