新浪科技讯 北京时间3月8日下午消息,谷歌(GOOG,591.66,-1.49%)已经修复了Android Market中的一个漏洞,该漏洞使得黑客能够通过散布恶意应用来控制设备。
“自从Android Web Market今年早些时候发布以来,通过欺骗用户点击恶意链接的方式来远程安装恶意应用就成为可能。”美国安全公司Duo Security联合创始人兼CTO乔恩·奥博海德(Jon Oberheide)在博客中说,“这一漏洞遍布所有的Android设备,无论何种版本或何种架构。”
奥本海德认为,这种XSS漏洞非常简单,在网站中很常见,因此他对此前没有人发现这一漏洞感到惊讶。
Android Market允许用户在用桌面电脑浏览该网站时,向Android手机远程安装新应用。这虽然为用户提供了方便,但同时也会被攻击者利用。由于无需通过手机验证,因此攻击者可以借助诱骗用户点击恶意链接的方式,悄无声息地将恶意应用安装到该用户的手机中。
奥本海德认为,谷歌应该推出一种机制,在应用安装前进行验证。他已于二月中旬将该漏洞通知谷歌,谷歌则在一周前修复了这一漏洞。
虽然谷歌为奥本海德提供了1337美元作为酬谢,但是当他得知,如果借助该漏洞在Pwn20wn黑客竞赛中获胜,可以获得1.5万美元的奖金时,不免懊悔。
谷歌表示,仍将为高质量的Web应用安全研究提供奖励。
谷歌上周末刚刚宣布,已经从Android Market撤下58款恶意应用,并将从26万部Android设备中远程删除这些应用。