Android Market再次出现严重漏洞

    Android     Discussion

谷歌已经修复了Android Market中的一个漏洞,该漏洞使得黑客能够通过散布恶意应用来控制设备。“自从Android Web Market今年早些时候发布以来,通过欺骗用户点击恶意链接的方式来远程安装恶意应用就成为可能。”美国安全公司Duo Security联合创始人兼CTO Jon Oberheide在博客中说,“这一漏洞遍布所有的Android设备,无论何种版本或何种架构。”

奥本海德认为,这种XSS漏洞非常简单,在网站中很常见,因此他对此前没有人发现这一漏洞感到惊讶。

Android Market允许用户在用桌面电脑浏览该网站时,向Android手机远程安装新应用。这虽然为用户提供了方便,但同时也会被攻击者利用。由于无需通过手机验证,因此攻击者可以借助诱骗用户点击恶意链接的方式,悄无声息地将恶意应用安装到该用户的手机中。

奥本海德认为,谷歌应该推出一种机制,在应用安装前进行验证。他已于二月中旬将该漏洞通知谷歌,谷歌则在一周前修复了这一漏洞。

虽然谷歌为奥本海德提供了1337美元作为酬谢,但是当他得知,如果借助该漏洞在Pwn20wn黑客竞赛中获胜,可以获得1.5万美元的奖金时,不免懊悔。

谷歌表示,仍将为高质量的Web应用安全研究提供奖励。

谷歌上周末刚刚宣布,已经从Android Market撤下58款恶意应用,并将从26万部Android设备中远程删除这些应用。(鼎宏·新浪科技)

 

Editor: Yong; Tags: ,

DISCUSSION


Notice: Undefined variable: user_ID in /usr/home/Yohn/maxbeta.com/htdocs/wp-content/themes/Tiny-Mag-H5/comments.php on line 21

  

(So you agree with the rules)