头条  >   频道  >  正文

漏洞、假冒、劫持,Google应用市场为何事故频发?

亲,暂时无法评论!

shutterstock_421580575-796x398.jpg

Google Play Store到底怎么了?

经常关注BUF早餐铺的同学不难发现,Google Play Store最近事件频发,我们不妨先来回顾一下今年Google Play Store上发生的各种问题:

今年4月,卡巴斯基发现一款新型恶意软件通过Google Play应用商店进行传播。与其他root型恶意软件不同,这款恶意软件不仅会将自己的模块植入目标系统中,而且它还会将恶意代码注入至系统运行时库。

今年6月,Check Point的安全研究专家在Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,这是一款自动点击型恶意软件,目前已经在Google Play上发现有41款App感染了这种恶意软件。

今年9月,Google还从Play Store下架了近300款涉嫌DDoS的应用,这些应用甚至构建了一个名为 WireX 的僵尸网络。

最令人震撼的可能是本月初,有些用户发现一款WhatsApp的假冒版本公然出现在Google Play Store上,并且已经有100万用户的下载量。

hacking-whatsapp-android-app.png

这款应用的名称叫做Update WhatsApp Messenger,开发者尝试伪装成WhatsApp官方,开发者名称叫WhatsApp Inc.。黑客使用了一种神奇的方法伪造了开发者的名称,他在WhatsApp Inc.后面加上了一个Unicode空格,导致真假难辨,黑客真实的ID是:WhatsApp+Inc%C2%A0。这款假冒的应用会隐藏在系统中,然后显示广告,安装其他应用获取收益。

Google做了什么?

屡屡发生安全事件让Google焦头烂额,但在安全性上,Google也不是没有付出了大量心血。

一方面Google在不断完善Android系统的安全性:比如在Android Nougat中,Google了系统的加密功能,加固了在之前的版本中屡屡被爆出问题的Mediaserver组件,针对勒索软件、银行木马也限制了相关权限和API的调用;在Android Oreo中,Google引入了新的安全设置中心以及更加严格的 App 安装控制,希望保障用户的设备安全。

另一方面,Google也在提升Google Play Store恶意应用的检测能力。实际上Google Play Store的审核机制原本更加开放,造成的结果就是大量恶意软件、山寨软件层出不穷,无奈之下Google Play在2015年引入了人工审核,对原有审核流程前,添加了人工审核的环节。

TIM截图20171110182003.png

今年5月,Google推出Google Play Protect,这个功能被集成到Play Store中,它会扫描你的手机中是否存在恶意软件。

除此之外,上个月底,Google Play Store还启动了保护Android应用,项目的名称为 “Google Play安全奖金”,赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员,赏金会达到1000美元。

白帽子首先需要把发现的漏洞直接汇报给应用开发者。漏洞修复后,黑客需要把漏洞报告提交到HackerOne。可惜的是漏洞赏金计划并不向所有应用开放,目前加入Google Play Store的漏洞赏金计划的仅有:阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

安全防护等同鸡肋?

这些措施到底能不能保护用户的安全呢?

从结果来看,显然不能

上个月,德国独立杀毒软件评测机构AV-TEST的测试结果显示,Google Play Protect等同鸡肋。

google-play-protect-av-test-score-640x488.png

AV-TEST发现,Google Play Protect只能防御65.8%的新型病毒,更可怕的是对于出现4周的病毒只能防御80%。

相反的是,大部分的专业杀毒软件都可以检测到99%的病毒,因而在测评的有效性评分上,Google Play Protect仅仅获得0分(满分6分)。

安全理念缺陷

事实上,问题频发的不仅是Google旗下的Android应用商店,甚至包括Chrome Web Store,这是Chrome用户下载浏览器插件的“应用商店”。

今年9月,流行Chrome插件User-Agent Switcher被爆出实为木马程序,这款插件的表面功能是使Chrome可以转换为别的浏览器进行访问,方便用户进行测试。

这款插件的用户数超过45万人,1300多名用户对其进行了评价,平均评分4.38颗星。插件就会把你浏览器打开的每个页面的url信息加密发送到某个地址,还会植入广告甚至恶意代码。

无独有偶,今年10月,另一款Chrome插件Adblock Plus被爆出存在假冒版本,作者仅仅通过修改AdBlock的大小写,就堂而皇之地出现在了Web Store中,在插件下架前,超过37,000的用户下载了插件。

这些事件不得不让人怀疑,是不是Google的相关政策出了问题。

TIM截图20171110181635.png

同样作为应用商店,苹果的App Store就很少出现问题,更深层次的原因可能是Google与苹果观念的不同。

众所周知,iOS系统具有封闭性,而Android平台相对开放,这样带来的结果就是,Android平台的开发者和应用数量远远大于iOS平台,而前面提到的Google在Android引进的新安全功能、修复的安全问题往往在苹果看来不值一提,因为iOS平台的封闭性,黑客很难有机会真正对漏洞进行利用。

同样的观念也体现在了两个平台的应用商店中。App Store拥有非常严格的审核制度,一款应用在App Store的审核时间往往更久,有的甚至能达到1~2周,而在Google的Play Store,可以缩短到1天。

App Store严格的审核机制带来的坏处是过于“集权”,有些时候应用甚至因为一些离奇的原因遭到下架,但好处也显而易见——为用户提供更安全可信的平台,让用户无需自行甄别应用是否安全。

或许Google和苹果采用的策略各有千秋,但现在Google开放的审核制度显然出现了问题,为用户提供安全可信的应用商店是Google Play应该做的,也是Google的远景之一,要想做到这一点要么就提升Play Protect的可用性,通过技术手段阻挡恶意软件,要么就采取更加严苛的审核制度,提高恶意应用进入市场的门槛。现行的审核机制漏洞百出,审核机制的修改迫在眉睫。

参考来源

* 作者:Sphinx,转载请注明来自FreeBuf.COM

妻孝40续写马孔多的雨下了四年迷失by典伊微盘替身朵玛如何做vdd迫全集,有声小说十七岁那年的雨季周伯通郭靖欧阳询结体三十六法撒莱和夏甲鬼乱4讲的是什么春梦了无痕小说长篇快穿文,马鞍山第一夫人宝玉干贾母霸气书库美男三千全文阅读奴隶入宫净身美人驴什么意思章鱼有声小说,同性恋幼小说免费阅读我的激情是要赢读后感异天途txt全集下载锅炉房张老头全文阅读秦时明月全集打包下廖氏叔安公祖屋图片,一朝选在格里菲斯x格斯bl霹雳同人之丹青闻人控制母女小说耽美治愈系萌文百度云性爱超市txt天地有情林义海农家弃女之秀丽田园娘家故事第四部大结局公公和儿媳的缠绵小说,武侠春色&039,指点江山君莫笑百度云乾坤洞洞主白雪缠绵玉烛宝典崔子格女人身上肉肉的形容词琼的篆体隋唐乱gl全文阅读吐纳六字诀的真确方法舞蹈戴天头作品赏析盗墓笔记mobi完美排版关于王源的长篇说说古代形容爱情的古语春温一笑的作品txt,高智商男主纯爱的番婚眠鱼家小夫君番外木西年的小说我爱阅读手抄报资料起凡太史慈出装己所不欲勿施于人的事例西园诗n0836先锋三生造化决林斜阳风花雪月无念白余姬修仙金手指文微盘情浴威尼斯完整版511写关于夏天的诗句海岛沙滩美景散文天门柳洛城剧透赵孟頫的闲居赋翻译魂武双修女主角王瑞雪喋喋不休反义词虎牙直播写诗的表妹盲女小说全文免费阅读你的误区在线阅读黄致列火的一塌糊涂新济公活佛93集四大成人系列小说小说伍咏薇翁江培狄仁杰之神都龙王宫女桃花心木读后感300字还珠格格非永燕小说诸葛亮穿越回现代我的老板是阎王txt有关风的画大江大海龙应台在线阅读景明沈芳爱情史记寒衣处处催刀尺白帝城高急暮砧,抽插熟女小说异世九阳神功怎么在17k网站写小说日日月月年年青云志免费读小说抗日之特战兵王不乐无语加料小说杜拉拉升职记4大结局苏小美原创本人吧弃妇再嫁双面人完结版东古风战斗有趣的故事武侠1080p,帮淫妻兽性交小说故事片尾有作品绍介暮光之城同人之俗世石原莉奈禁忌欲情迅雷滕王阁序作文素材乱欲91梁稳根驸马爷小美人鱼作者自成一派下一句西汉美女卓文君护国皇娘传结局象征自由的天使爱是天时地利的迷信静临美母嫁给我滴答小说鹿鼎干太后白色群像txt下载穿越回到古代可以吗学战都市asterisk08epub校园绝品狂徒唐仙儿什么回来靳道远主教简介子君广场午连诗雅不雅全集调教繁体超痞兵王txt超级虐情虐心小说集有种你等着完结加番外恋人重逢的句子人生自古谁无死下一句售馨电子书深情不及久伴是啥意思新海诚时光相册我竟无言以对表情人畜乱欲小说风流黄蓉txt下载远古祖藤免费阅读,血继限界免费阅读布玛女主穿越成花痴草包慕容秋荻ABO舰长的秘密潸然泪下中潸然的意思总裁之不孕前妻大结局上错床喂了狼txt汐木老头性事小说老版本聊斋胭脂泪邓州范仲淹公学图片,美丽人妻学姐的乳汁txt穿越之盛世年华结局万古战帝全文阅读免费张大千ed2k波得莱尔诗歌唐国栋春秋战雄神帝女主重生召唤师,在异界求生的日子txt台湾新西游记铁扇公主毒妻归来免费阅读全文杀手乔删除片段在线唐韵文化足韵松柏生小说春帐剑寒岁寒知松柏患难见真情的意思做爱故事小说末世溯源之始阅晓36,全职周翔文推荐燃灯古佛的师父是谁军嫂杨雪全文在线阅度小说主人公安诺溪金泰希家世看透浮生过半去韶关南华寺求姻缘屈原最重要的代表作品是爱情悲剧小说古风温婉少女西湖汤姆索亚历险记备课爱竹说白话文400字描写老上海的句子我入了谁的梦中吗,凌辱小故事2gif盛世独宠txt滝沢作品春日由衣无马拜师学艺对师父怎么说老舍我的母亲课后答案魔物极度快感小说温馨提示触目惊心作文色绝天下之极品弃妃岳母夜来香斗破苍穹的足控带着系统穿越神雕金l岂是池中物全文目录袭人和晴雯复仇公主贵族完结小说康熙经典独白文泰长美黑红楼梦酒是啥地方出的古代四大美女家乡洪兴十三妹结局贴身高手明日复明日,校花的功夫保镖楚天宇姹女九转同人关于竹的诗句帝与皇王爷你给我跪搓衣板玄幻小说吧琦书屋手机版不眠之夜惊世弃妃恶魔也有泪,魔门风流txt全集下载,四房色播开心网乱伦小说

我要报错
热门推荐

友情链接

注:凡本网注明来源非本站的作品,均转载自其它媒体,并不代表本网赞同其观点和对其真实性负责。

本站致力于资讯传播,希望建立合作关系。若有任何不当请联系我们,将会在24小时内删除。

mhyf.us All Right Reserve 版权所有