3月9日消息,據(jù)臺灣媒體報道,谷歌才剛宣布修正Android應(yīng)用商店的程序錯誤,又有研究機構(gòu)傳出這些程序錯誤可能導(dǎo)致黑客散布惡意軟件以控制用戶設(shè)備的消息。

  信息安全公司Duo Security創(chuàng)辦人兼首席技術(shù)官Jon Oberheide表示,Android應(yīng)用商店自今年年初發(fā)表以來,黑客極有可能透過詐騙的方式,讓用戶點選惡意鏈接,接著以遠(yuǎn)程遙控的方式安裝任意程序在受害者的手機里。Jon Oberheide認(rèn)為在一般網(wǎng)站上相當(dāng)普遍的XSS漏洞也會出現(xiàn)在智能型手機軟件上,由于目前在手機端并無任何“確認(rèn)安裝”程序的選項,這些程序安裝的需求幾乎是百分之百被手機所接受,這也讓黑客可以在不驚動使用者的狀況下安裝惡意軟件。而這些被安裝至受害者手機的惡意軟件可以啟動任何Android的功能,包括各式各樣的犯罪行為。

  Jon Oberheide認(rèn)為谷歌應(yīng)該建立一個讓用戶在手機上確認(rèn)安裝軟件需求的功能,會比目前遠(yuǎn)程自動安裝的機制來得好。

  Google于上周宣布將從Android應(yīng)用商店移除58個惡意軟件并將透過遠(yuǎn)程控制的方式從已安裝的26萬臺Android設(shè)備中移除,在同時,資安公司Duo Security發(fā)表XSS漏洞的消息。

  移動安全業(yè)者Lookout也發(fā)表更多與惡意軟件DroidDream相關(guān)的訊息,該公司表示,這個惡意軟件像僵尸病毒(zombie agent)一樣,會偷偷的安裝第二個程序以將設(shè)備相關(guān)訊息傳送至外面的服務(wù)器。Lookout發(fā)布一個免費的掃描軟件供用戶檢查是否受此惡意軟件感染。Lookout也提醒受感染的用戶恢復(fù)出廠設(shè)置并無法完全消滅惡意軟件,必須使用谷歌的“kill switch”工具來完成。