信息來源:Cnbeta
在宣傳 Play Store 的時候�����,谷歌表示它不僅僅只是一個 Android 應(yīng)用商城�����,更是你可以信賴且安全的應(yīng)用來源��。不過這并不代表著就百分百安全了��,近日谷歌對存在于 Google Play Core Library 中的安全漏洞進行了修復,不過由于應(yīng)用開發(fā)者尚未完全跟進�����,意味著依然有不少應(yīng)用和它們的用戶存在風險���。
顧名思義��,Google Play Core Library 是谷歌移動服務(wù)最基礎(chǔ)的組件之一����。它提供了包括下載其他語言�����、管理特征模塊的分發(fā)或者功能之類的功能�����,而不需要通過 Play Store 更新應(yīng)用程序本身�����。幾乎所有的 Play Store 應(yīng)用都利用了這些功能���,從而讓 Core Library 成為所有 Android 應(yīng)用程序的關(guān)鍵部分����。
不幸的是,Core庫中的一個嚴重缺陷利用了該功能�����,以使庫實際上執(zhí)行惡意代碼�����。 Check Point Research詳細介紹了漏洞利用的工作方式���,如果不加以解決,這是一個非??膳碌穆┒础P疫\的是��,Google已于去年4月修補了Play Core Library��,然后于8月公開披露了該漏洞���。
不過安全研究人員對該漏洞的調(diào)查并未停止���,并警告稱仍有不少應(yīng)用程序開發(fā)人員尚未更新升級至最新的 Play Core Library����。與Google最終完成所有工作的服務(wù)器端修補程序不同���,這種修補程序必須由應(yīng)用程序開發(fā)人員通過更新其應(yīng)用程序以使用庫的固定版本來自行應(yīng)用�����。根據(jù)最近的統(tǒng)計����,他們估計 Google Play 商店中尚未有 13% 的應(yīng)用程序沒有更新�。
