拥有数百万下载量的Android应用容易受到严重攻击

导读 拥有数亿下载量的Android应用很容易受到攻击,这些攻击使恶意应用可以窃取联系人,登录凭据,私人消息和其他敏感信息。安全公司Check Poin

拥有数亿下载量的Android应用很容易受到攻击,这些攻击使恶意应用可以窃取联系人,登录凭据,私人消息和其他敏感信息。安全公司Check Point表示,受影响的包括Edge浏览器,XRecorder视频和屏幕录像机以及PowerDirector视频编辑器。

该漏洞实际上位于Google Play核心库中,该库是Google编写的代码的集合。该库使应用程序可以简化更新过程,例如,在运行时接收新版本,并根据应用程序的特定配置或运行的电话模型定制更新。

核心漏洞

8月,安全公司Oversecured披露了Google Play核心库中的一个安全漏洞,该漏洞允许一个已安装的应用程序在依赖漏洞库版本的任何其他应用程序的上下文中执行代码。

该漏洞源于目录遍历漏洞,该漏洞使不受信任的来源可以将文件复制到应该仅保留给从Google Play接收的受信任代码的文件夹中。该漏洞破坏了Android操作系统内置的核心保护,阻止了一个应用访问属于任何其他应用的数据或代码。

Google在4月修补了库错误,但要修复易受攻击的应用程序,开发人员必须先下载更新的库,然后将其合并到他们的应用程序代码中。根据Check Point的研究结果,大量开发人员继续使用易受攻击的库版本。