安全動(dòng)態(tài)

仍有不少谷歌商城應(yīng)用沒(méi)有跟進(jìn)修復(fù)Play Core Library漏洞

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-12-08    瀏覽次數(shù):
 

信息來(lái)源:Cnbeta

在宣傳 Play Store 的時(shí)候,谷歌表示它不僅僅只是一個(gè) Android 應(yīng)用商城,更是你可以信賴且安全的應(yīng)用來(lái)源。不過(guò)這并不代表著就百分百安全了,近日谷歌對(duì)存在于 Google Play Core Library 中的安全漏洞進(jìn)行了修復(fù),不過(guò)由于應(yīng)用開發(fā)者尚未完全跟進(jìn),意味著依然有不少應(yīng)用和它們的用戶存在風(fēng)險(xiǎn)。


google-play-core-library-vuln-1280x720.jpg

顧名思義,Google Play Core Library 是谷歌移動(dòng)服務(wù)最基礎(chǔ)的組件之一。它提供了包括下載其他語(yǔ)言、管理特征模塊的分發(fā)或者功能之類的功能,而不需要通過(guò) Play Store 更新應(yīng)用程序本身。幾乎所有的 Play Store 應(yīng)用都利用了這些功能,從而讓 Core Library 成為所有 Android 應(yīng)用程序的關(guān)鍵部分。

不幸的是,Core庫(kù)中的一個(gè)嚴(yán)重缺陷利用了該功能,以使庫(kù)實(shí)際上執(zhí)行惡意代碼。 Check Point Research詳細(xì)介紹了漏洞利用的工作方式,如果不加以解決,這是一個(gè)非常可怕的漏洞。幸運(yùn)的是,Google已于去年4月修補(bǔ)了Play Core Library,然后于8月公開披露了該漏洞。

不過(guò)安全研究人員對(duì)該漏洞的調(diào)查并未停止,并警告稱仍有不少應(yīng)用程序開發(fā)人員尚未更新升級(jí)至最新的 Play Core Library。與Google最終完成所有工作的服務(wù)器端修補(bǔ)程序不同,這種修補(bǔ)程序必須由應(yīng)用程序開發(fā)人員通過(guò)更新其應(yīng)用程序以使用庫(kù)的固定版本來(lái)自行應(yīng)用。根據(jù)最近的統(tǒng)計(jì),他們估計(jì) Google Play 商店中尚未有 13% 的應(yīng)用程序沒(méi)有更新。


 
 

上一篇:2020年12月7日聚銘安全速遞

下一篇:2020年12月8日聚銘安全速遞