1. 首页
  2. 网络安全

谷歌网页版Android应用商店自动安装功能存威胁

  北京时间2月7日上午消息,信息安全公司Sophos表示,谷歌应当删除网页版Android商店的应用自动安装功能,称这一功能将使用户的Android手机更容易感染恶意软件和间谍软件。


  谷歌上周宣布推出Android 3.0“蜂巢”操作系统,同时也推出了网页版Android商店。谷歌希望凭借网页版Android商店推动Android应用的销售。谷歌此前表示,对当前Android应用的销售情况并不满意。


  不过Sophos表示,网页版Android商店的应用销售方式存在缺陷,因为当用户通过网页安装应用时,无需在手机上再次选择是否接受这一应用安装。


  苹果iTunes Preview服务帮助用户通过网站查看应用,但如果用户希望安装应用,仍需要进入iTunes软件才能完成。谷歌的做法与此不同,用户可以在网页上直接查看并安装应用,并远程将应用安装至手机。


  通过谷歌网页版Android商店,用户购买的应用将被直接发送至用户手机,并自动安装。研究人员认为,这一方式的问题在于,应用在被安装至手机时用户不会看到任何提示。因此,如果有其他人获取用户的帐户信息,那么可以很容易地在用户手机中安装应用,而用户甚至对此毫不知情。


  此外,Android应用可以利用手机的许多功能,而谷歌将应用的安全问题完全交由用户自己处理。例如,如果一款应用希望获取手机中的用户数据,发送短信,或是跟踪用户的地理位置,那么用户将自行决定是否允许该应用这样做。然而,新的网页版Android商店使恶意软件可以绕过用户批准的过程,在后台直接安装应用。


  苹果iOS平台上的应用均经过苹果的审批,而用户需要通过iTunes和iPhone等设备手动下载应用。苹果不允许应用在未经用户允许的情况下在用户的设备上静默安装。


  不过,只有当用户的帐号和密码泄露时,这一安全缺陷才有可能被恶意的第三方利用。在苹果的iOS平台上,此前已经出现过多起针对用户密码的攻击。然而,苹果用户的帐号和密码被泄露之后,所出现的问题仅仅是帐号被用于未经授权的购买。而一旦谷歌用户的帐号和密码被泄露,那么用户的手机上可能会被安装恶意软件,导致用户的各类敏感信息泄露。

发表评论

登录后才能评论