根據(jù)Android應(yīng)用提供商Lookout Mobile Security在本周五發(fā)布的報(bào)告，安全研究人員日前在谷歌Play官方應(yīng)用商店中發(fā)現(xiàn)了一組惡意軟件，該惡意代碼庫(kù)名為“BadNews”，被植入到由4個(gè)開(kāi)發(fā)者賬戶提供的至少32個(gè)應(yīng)用程序當(dāng)中，目前已被下載900萬(wàn)次。

這次針對(duì)Android手機(jī)的攻擊，之所以能夠繞過(guò)谷歌應(yīng)用商店的防御，是因?yàn)閻阂獯a庫(kù)是在那些無(wú)害應(yīng)用提交到Play商店之后才被注入到它們當(dāng)中，只有在應(yīng)用升級(jí)之后才會(huì)進(jìn)行攻擊。

這也暴露出谷歌應(yīng)用商店（Google Play）的一個(gè)重大安全隱患，一個(gè)無(wú)害的應(yīng)用，通過(guò)自身的自動(dòng)升級(jí)或在線更新，很可能會(huì)變成一個(gè)惡意應(yīng)用。

谷歌應(yīng)用商店和蘋果應(yīng)用商店在應(yīng)用的升級(jí)處理上并不一樣，在蘋果應(yīng)用商店，任何應(yīng)用如果需要升級(jí)，都必須通過(guò)蘋果官方應(yīng)用商店升級(jí)，應(yīng)用一般也不會(huì)在線下載大量數(shù)據(jù)文件。而Android就不同，很多應(yīng)用將數(shù)據(jù)文件放在SD卡，只提供一個(gè)很小的文件下載，運(yùn)行文件后會(huì)下載所需數(shù)據(jù)文件，這使得Google對(duì)這些文件的審核變得不可控。

在應(yīng)用的升級(jí)方面，很多Android應(yīng)用的升級(jí)采取了繞過(guò)谷歌官方應(yīng)用商店Google Play Store而自動(dòng)下載更新的方式進(jìn)行，而下載完成后，該應(yīng)用所獲取的權(quán)限往往會(huì)非常大，這使得谷歌對(duì)該應(yīng)用的升級(jí)不可控。

因此，這種漏洞一旦被黑客利用，黑客只要攻擊各個(gè)應(yīng)用程序的網(wǎng)站，替換其下載應(yīng)用數(shù)據(jù)為惡意應(yīng)用，就可以對(duì)大量Android手機(jī)實(shí)施攻擊，即使這些手機(jī)使用的是谷歌官方應(yīng)用商店。當(dāng)初Android允許應(yīng)用自己升級(jí)數(shù)據(jù)文件而不是依靠應(yīng)用商店，就注定這類攻擊無(wú)法避免，谷歌要想從根源上阻止這類攻擊，只能學(xué)習(xí)蘋果，從根源上斷絕應(yīng)用的在線升級(jí)功能，強(qiáng)制應(yīng)用必須通過(guò)谷歌應(yīng)用商店Google Play進(jìn)行升級(jí)。