新浪科技訊 北京時(shí)間3月8日下午消息,谷歌(GOOG,591.66,-1.49%)已經(jīng)修復(fù)了Android Market中的一個(gè)漏洞,該漏洞使得黑客能夠通過散布惡意應(yīng)用來控制設(shè)備。
“自從Android Web Market今年早些時(shí)候發(fā)布以來,通過欺騙用戶點(diǎn)擊惡意鏈接的方式來遠(yuǎn)程安裝惡意應(yīng)用就成為可能。”美國(guó)安全公司Duo Security聯(lián)合創(chuàng)始人兼CTO喬恩·奧博海德(Jon Oberheide)在博客中說,“這一漏洞遍布所有的Android設(shè)備,無論何種版本或何種架構(gòu)。”
奧本海德認(rèn)為,這種XSS漏洞非常簡(jiǎn)單,在網(wǎng)站中很常見,因此他對(duì)此前沒有人發(fā)現(xiàn)這一漏洞感到驚訝。
Android Market允許用戶在用桌面電腦瀏覽該網(wǎng)站時(shí),向Android手機(jī)遠(yuǎn)程安裝新應(yīng)用。這雖然為用戶提供了方便,但同時(shí)也會(huì)被攻擊者利用。由于無需通過手機(jī)驗(yàn)證,因此攻擊者可以借助誘騙用戶點(diǎn)擊惡意鏈接的方式,悄無聲息地將惡意應(yīng)用安裝到該用戶的手機(jī)中。
奧本海德認(rèn)為,谷歌應(yīng)該推出一種機(jī)制,在應(yīng)用安裝前進(jìn)行驗(yàn)證。他已于二月中旬將該漏洞通知谷歌,谷歌則在一周前修復(fù)了這一漏洞。
雖然谷歌為奧本海德提供了1337美元作為酬謝,但是當(dāng)他得知,如果借助該漏洞在Pwn20wn黑客競(jìng)賽中獲勝,可以獲得1.5萬(wàn)美元的獎(jiǎng)金時(shí),不免懊悔。
谷歌表示,仍將為高質(zhì)量的Web應(yīng)用安全研究提供獎(jiǎng)勵(lì)。
谷歌上周末剛剛宣布,已經(jīng)從Android Market撤下58款惡意應(yīng)用,并將從26萬(wàn)部Android設(shè)備中遠(yuǎn)程刪除這些應(yīng)用。