在宣傳 Play Store 的時候,谷歌表示它不僅僅只是一個 Android 應用商城,更是你可以信賴且安全的應用來源。不過這並不代表著就百分百安全了,近日谷歌對存在於 Google Play Core Library 中的安全漏洞進行了修復,不過由於應用開發者尚未完全跟進,意味著依然有不少應用和它們的用戶存在風險。
顧名思義,Google Play Core Library 是谷歌移動服務最基礎的組件之一。它提供了包括下載其他語言、管理特徵模塊的分發或者功能之類的功能,而不需要通過 Play Store 更新應用程式本身。幾乎所有的 Play Store 應用都利用了這些功能,從而讓 Core Library 成為所有 Android 應用程式的關鍵部分。
不幸的是,Core庫中的一個嚴重缺陷利用了該功能,以使庫實際上執行惡意代碼。 Check Point Research詳細介紹了漏洞利用的工作方式,如果不加以解決,這是一個非常可怕的漏洞。幸運的是,Google已於去年4月修補了Play Core Library,然後於8月公開披露了該漏洞。
不過安全研究人員對該漏洞的調查並未停止,並警告稱仍有不少應用程式開發人員尚未更新升級至最新的 Play Core Library。與Google最終完成所有工作的伺服器端修補程序不同,這種修補程序必須由應用程式開發人員通過更新其應用程式以使用庫的固定版本來自行應用。根據最近的統計,他們估計 Google Play 商店中尚未有 13% 的應用程式沒有更新。