Google 一直在向用户宣导从 Play 商店下载安装 Android 应用程序式值得信赖且具高度安全性的来源,然而这种安全性必须建立在应用程序本身就与 Google Play 商店服务一样强大,在开发者所使用的程式码中都必须处于一样的安全水准才能真正让防线内外都很坚固。
Google Play 商店应用也不安全,许多流行 Android 应用程序还在用过时版本核心库
虽然 Google 已经从 Play 商店的核心库中围堵了最近的一个安全漏洞,但由于应用程序开发者并没有跟着往前走,所以间接地将用户与自家应用暴露在风险之中。Google Play 核心库就如其名,是整个 GMS 服务中最基础的组成部分之一,就像一个匣道,用于从应用程序内与 Google Play 服务间进行互动,从动态源代码根据需要下载的等级、提供特定某些区域而设的资源到与 Google Play 商店的审核机制间交互作用。目前几乎所有 Play 商店中的应用程序都有用到这个核心库,包含了 Microsoft Edge 浏览器、Whatsapp、Instagram、Facebook,与 Google 自家的 Chrome 浏览器也都用上了,让这个核心库成为重要的关键。
不幸的是,核心库中有一个重要的缺陷,可使不肖人士利用该漏洞执行恶意程式码,如果没有得到解决将会演变成一个大问题。幸好在去年 4 月间已经修补了 Play 核心库,直到 8 月才公开披露这个漏洞。然而安全人员警告,虽然 Google 已经修复,但还有很多应用程序开发者还没有与时俱进地跟新到最新版本的核心库。下面的影片是这个漏洞如何影响用户安全:
与 Google 端的服务器修补不同,应用程序开发者必须够过更新其应用程序来修补核心库,据估计还有 13% 的应用程序还没有跟上。Check Point 将容易受到攻击的应用编列出来,其中,Viber、Booking.com、Grindr 、Moovit 与 Cisco 表示已经补上,其他应用在日后或许也会陆续将漏洞修补好:
◎资料来源:Check Point
