在宣传 Play Store 的时候,谷歌表示它不仅仅只是一个 Android 应用商城,更是你可以信赖且安全的应用来源。不过这并不代表着就百分百安全了,近日谷歌对存在于 Google Play Core Library 中的安全漏洞进行了修复,不过由于应用开发者尚未完全跟进,意味着依然有不少应用和它们的用户存在风险。
顾名思义,Google Play Core Library 是谷歌移动服务最基础的组件之一。它提供了包括下载其他语言、管理特征模块的分发或者功能之类的功能,而不需要通过 Play Store 更新应用程序本身。几乎所有的 Play Store 应用都利用了这些功能,从而让 Core Library 成为所有 Android 应用程序的关键部分。
不幸的是,Core库中的一个严重缺陷利用了该功能,以使库实际上执行恶意代码。 Check Point Research详细介绍了漏洞利用的工作方式,如果不加以解决,这是一个非常可怕的漏洞。幸运的是,Google已于去年4月修补了Play Core Library,然后于8月公开披露了该漏洞。
不过安全研究人员对该漏洞的调查并未停止,并警告称仍有不少应用程序开发人员尚未更新升级至最新的 Play Core Library。与Google最终完成所有工作的服务器端修补程序不同,这种修补程序必须由应用程序开发人员通过更新其应用程序以使用库的固定版本来自行应用。根据最近的统计,他们估计 Google Play 商店中尚未有 13% 的应用程序没有更新。