谷歌網(wǎng)頁版Android商店新功能存安全威脅

Win7之家（ afsion.com.cn）：谷歌網(wǎng)頁版Android商店新功能存安全威脅

      北京時間2月7日上午消息，信息安全公司Sophos表示，谷歌應(yīng)當(dāng)刪除網(wǎng)頁版Android商店的應(yīng)用自動安裝功能，稱這一功能將使用戶的Android手機(jī)更容易感染惡意軟件和間諜軟件。

　　谷歌上周宣布推出Android 3.0“蜂巢”操作系統(tǒng)，同時也推出了網(wǎng)頁版Android商店。谷歌希望憑借網(wǎng)頁版Android商店推動Android應(yīng)用的銷售。谷歌此前表示，對當(dāng)前Android應(yīng)用的銷售情況并不滿意。

　　不過Sophos表示，網(wǎng)頁版Android商店的應(yīng)用銷售方式存在缺陷，因為當(dāng)用戶通過網(wǎng)頁安裝應(yīng)用時，無需在手機(jī)上再次選擇是否接受這一應(yīng)用安裝。

　　蘋果iTunes Preview服務(wù)幫助用戶通過網(wǎng)站查看應(yīng)用，但如果用戶希望安裝應(yīng)用，仍需要進(jìn)入iTunes軟件才能完成。谷歌的做法與此不同，用戶可以在網(wǎng)頁上直接查看并安裝應(yīng)用，并遠(yuǎn)程將應(yīng)用安裝至手機(jī)。

　　通過谷歌網(wǎng)頁版Android商店，用戶購買的應(yīng)用將被直接發(fā)送至用戶手機(jī)，并自動安裝。研究人員認(rèn)為，這一方式的問題在于，應(yīng)用在被安裝至手機(jī)時用戶不會看到任何提示。因此，如果有其他人獲取用戶的帳戶信息，那么可以很容易地在用戶手機(jī)中安裝應(yīng)用，而用戶甚至對此毫不知情。

　　此外，Android應(yīng)用可以利用手機(jī)的許多功能，而谷歌將應(yīng)用的安全問題完全交由用戶自己處理。例如，如果一款應(yīng)用希望獲取手機(jī)中的用戶數(shù)據(jù)，發(fā)送短信，或是跟蹤用戶的地理位置，那么用戶將自行決定是否允許該應(yīng)用這樣做。然而，新的網(wǎng)頁版Android商店使惡意軟件可以繞過用戶批準(zhǔn)的過程，在后臺直接安裝應(yīng)用。

　　蘋果iOS平臺上的應(yīng)用均經(jīng)過蘋果的審批，而用戶需要通過iTunes和iPhone等設(shè)備手動下載應(yīng)用。蘋果不允許應(yīng)用在未經(jīng)用戶允許的情況下在用戶的設(shè)備上靜默安裝。

　　不過，只有當(dāng)用戶的帳號和密碼泄露時，這一安全缺陷才有可能被惡意的第三方利用。在蘋果的iOS平臺上，此前已經(jīng)出現(xiàn)過多起針對用戶密碼的攻擊。然而，蘋果用戶的帳號和密碼被泄露之后，所出現(xiàn)的問題僅僅是帳號被用于未經(jīng)授權(quán)的購買。而一旦谷歌用戶的帳號和密碼被泄露，那么用戶的手機(jī)上可能會被安裝惡意軟件，導(dǎo)致用戶的各類敏感信息泄露。