新浪科技訊 北京時間3月8日下午消息,谷歌(GOOG,591.66,-1.49%)已經修復了Android Market中的一個漏洞,該漏洞使得黑客能夠通過散布惡意應用來控制設備。
“自從Android Web Market今年早些時候發布以來,通過欺騙用戶點擊惡意鏈接的方式來遠程安裝惡意應用就成為可能。”美國安全公司Duo Security聯合創始人兼CTO喬恩·奧博海德(Jon Oberheide)在博客中說,“這一漏洞遍布所有的Android設備,無論何種版本或何種架構。”
奧本海德認為,這種XSS漏洞非常簡單,在網站中很常見,因此他對此前沒有人發現這一漏洞感到驚訝。
Android Market允許用戶在用桌面電腦瀏覽該網站時,向Android手機遠程安裝新應用。這雖然為用戶提供了方便,但同時也會被攻擊者利用。由于無需通過手機驗證,因此攻擊者可以借助誘騙用戶點擊惡意鏈接的方式,悄無聲息地將惡意應用安裝到該用戶的手機中。
奧本海德認為,谷歌應該推出一種機制,在應用安裝前進行驗證。他已于二月中旬將該漏洞通知谷歌,谷歌則在一周前修復了這一漏洞。
雖然谷歌為奧本海德提供了1337美元作為酬謝,但是當他得知,如果借助該漏洞在Pwn20wn黑客競賽中獲勝,可以獲得1.5萬美元的獎金時,不免懊悔。
谷歌表示,仍將為高質量的Web應用安全研究提供獎勵。
谷歌上周末剛剛宣布,已經從Android Market撤下58款惡意應用,并將從26萬部Android設備中遠程刪除這些應用。