研究人员发现Android Market存在严重漏洞

北京时间3月8日下午消息，谷歌已经修复了Android Market中的一个漏洞，该漏洞使得黑客能够通过散布恶意应用来控制设备。

“自从Android Web Market今年早些时候发布以来，通过欺骗用户点击恶意链接的方式来远程安装恶意应用就成为可能。”美国安全公司Duo Security联合创始人兼CTO乔恩·奥博海德(Jon Oberheide)在博客中说，“这一漏洞遍布所有的Android设备，无论何种版本或何种架构。”

奥本海德认为，这种XSS漏洞非常简单，在网站中很常见，因此他对此前没有人发现这一漏洞感到惊讶。

Android Market允许用户在用桌面电脑浏览该网站时，向Android手机远程安装新应用。这虽然为用户提供了方便，但同时也会被攻击者利用。由于无需通过手机验证，因此攻击者可以借助诱骗用户点击恶意链接的方式，悄无声息地将恶意应用安装到该用户的手机中。

奥本海德认为，谷歌应该推出一种机制，在应用安装前进行验证。他已于二月中旬将该漏洞通知谷歌，谷歌则在一周前修复了这一漏洞。

虽然谷歌为奥本海德提供了1337美元作为酬谢，但是当他得知，如果借助该漏洞在Pwn20wn黑客竞赛中获胜，可以获得1.5万美元的奖金时，不免懊悔。

谷歌表示，仍将为高质量的Web应用安全研究提供奖励。

谷歌上周末刚刚宣布，已经从Android Market撤下58款恶意应用，并将从26万部Android设备中远程删除这些应用。

未经允许不得转载：DOIT » 研究人员发现Android Market存在严重漏洞