新闻链接：a5bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4A6L8%4c8A6L8h3g2K6i4K6u0W2j5$3!0E0i4K6u0r3M7$3q4X3k6i4c8&6i4K6u0r3j5i4q4*7P5q4)9J5c8U0M7^5y4o6j5H3i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间：2013-04-24 10:12:46 来源：CIO时代网
新闻正文：
    根据Android应用提供商Lookout Mobile Security在本周五发布的报告，安全研究人员日前在谷歌Play官方应用商店中发现了一组恶意软件，该恶意代码库名为“BadNews”，被植入到由4个开发者账户提供的至少32个应用程序当中，目前已被下载900万次。

    这次针对Android手机的攻击，之所以能够绕过谷歌应用商店的防御，是因为恶意代码库是在那些无害应用提交到Play商店之后才被注入到它们当中，只有在应用升级之后才会进行攻击。

    这也暴露出谷歌应用商店（Google Play）的一个重大安全隐患，一个无害的应用，通过自身的自动升级或在线更新，很可能会变成一个恶意应用。

    谷歌应用商店和苹果应用商店在应用的升级处理上并不一样，在苹果应用商店，任何应用如果需要升级，都必须通过苹果官方应用商店升级，应用一般也不会在线下载大量数据文件。而Android就不同，很多应用将数据文件放在SD卡，只提供一个很小的文件下载，运行文件后会下载所需数据文件，这使得Google对这些文件的审核变得不可控。

    在应用的升级方面，很多Android应用的升级采取了绕过谷歌官方应用商店Google Play Store而自动下载更新的方式进行，而下载完成后，该应用所获取的权限往往会非常大，这使得谷歌对该应用的升级不可控。

    因此，这种漏洞一旦被黑客利用，黑客只要攻击各个应用程序的网站，替换其下载应用数据为恶意应用，就可以对大量Android手机实施攻击，即使这些手机使用的是谷歌官方应用商店。当初Android允许应用自己升级数据文件而不是依靠应用商店，就注定这类攻击无法避免，谷歌要想从根源上阻止这类攻击，只能学习苹果，从根源上断绝应用的在线升级功能，强制应用必须通过谷歌应用商店Google Play进行升级。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课