安全動態(tài)

仍有不少谷歌商城應用沒有跟進修復Play Core Library漏洞

來源:聚銘網(wǎng)絡    發(fā)布時間:2020-12-08    瀏覽次數(shù):
 

信息來源:Cnbeta

在宣傳 Play Store 的時候,谷歌表示它不僅僅只是一個 Android 應用商城,更是你可以信賴且安全的應用來源。不過這并不代表著就百分百安全了,近日谷歌對存在于 Google Play Core Library 中的安全漏洞進行了修復,不過由于應用開發(fā)者尚未完全跟進,意味著依然有不少應用和它們的用戶存在風險。


google-play-core-library-vuln-1280x720.jpg

顧名思義,Google Play Core Library 是谷歌移動服務最基礎的組件之一。它提供了包括下載其他語言、管理特征模塊的分發(fā)或者功能之類的功能,而不需要通過 Play Store 更新應用程序本身。幾乎所有的 Play Store 應用都利用了這些功能,從而讓 Core Library 成為所有 Android 應用程序的關鍵部分。

不幸的是,Core庫中的一個嚴重缺陷利用了該功能,以使庫實際上執(zhí)行惡意代碼。 Check Point Research詳細介紹了漏洞利用的工作方式,如果不加以解決,這是一個非常可怕的漏洞。幸運的是,Google已于去年4月修補了Play Core Library,然后于8月公開披露了該漏洞。

不過安全研究人員對該漏洞的調(diào)查并未停止,并警告稱仍有不少應用程序開發(fā)人員尚未更新升級至最新的 Play Core Library。與Google最終完成所有工作的服務器端修補程序不同,這種修補程序必須由應用程序開發(fā)人員通過更新其應用程序以使用庫的固定版本來自行應用。根據(jù)最近的統(tǒng)計,他們估計 Google Play 商店中尚未有 13% 的應用程序沒有更新。


 
 

上一篇:2020年12月7日聚銘安全速遞

下一篇:2020年12月8日聚銘安全速遞