根據(jù)Android應(yīng)用提供商Lookout Mobile Security在本周五發(fā)布的報告，安全研究人員日前在谷歌Play官方應(yīng)用商店中發(fā)現(xiàn)了一組惡意軟件，該惡意代碼庫名為“BadNews”，被植入到由4個開發(fā)者賬戶提供的至少32個應(yīng)用程序當(dāng)中，目前已被下載900萬次。

這次針對Android手機的攻擊，之所以能夠繞過谷歌應(yīng)用商店的防御，是因為惡意代碼庫是在那些無害應(yīng)用提交到Play商店之后才被注入到它們當(dāng)中，只有在應(yīng)用升級之后才會進(jìn)行攻擊。

這也暴露出谷歌應(yīng)用商店（Google Play）的一個重大安全隱患，一個無害的應(yīng)用，通過自身的自動升級或在線更新，很可能會變成一個惡意應(yīng)用。

谷歌應(yīng)用商店和蘋果應(yīng)用商店在應(yīng)用的升級處理上并不一樣，在蘋果應(yīng)用商店，任何應(yīng)用如果需要升級，都必須通過蘋果官方應(yīng)用商店升級，應(yīng)用一般也不會在線下載大量數(shù)據(jù)文件。而Android就不同，很多應(yīng)用將數(shù)據(jù)文件放在SD卡，只提供一個很小的文件下載，運行文件后會下載所需數(shù)據(jù)文件，這使得Google對這些文件的審核變得不可控。

在應(yīng)用的升級方面，很多Android應(yīng)用的升級采取了繞過谷歌官方應(yīng)用商店Google Play Store而自動下載更新的方式進(jìn)行，而下載完成后，該應(yīng)用所獲取的權(quán)限往往會非常大，這使得谷歌對該應(yīng)用的升級不可控。

因此，這種漏洞一旦被黑客利用，黑客只要攻擊各個應(yīng)用程序的網(wǎng)站，替換其下載應(yīng)用數(shù)據(jù)為惡意應(yīng)用，就可以對大量Android手機實施攻擊，即使這些手機使用的是谷歌官方應(yīng)用商店。當(dāng)初Android允許應(yīng)用自己升級數(shù)據(jù)文件而不是依靠應(yīng)用商店，就注定這類攻擊無法避免，谷歌要想從根源上阻止這類攻擊，只能學(xué)習(xí)蘋果，從根源上斷絕應(yīng)用的在線升級功能，強制應(yīng)用必須通過谷歌應(yīng)用商店Google Play進(jìn)行升級。