谷歌網(wǎng)頁版Android商店新功能存安全威脅

Win7之家（ afsion.com.cn）：谷歌網(wǎng)頁版Android商店新功能存安全威脅

      北京時間2月7日上午消息，信息安全公司Sophos表示，谷歌應當刪除網(wǎng)頁版Android商店的應用自動安裝功能，稱這一功能將使用戶的Android手機更容易感染惡意軟件和間諜軟件。

　　谷歌上周宣布推出Android 3.0“蜂巢”操作系統(tǒng)，同時也推出了網(wǎng)頁版Android商店。谷歌希望憑借網(wǎng)頁版Android商店推動Android應用的銷售。谷歌此前表示，對當前Android應用的銷售情況并不滿意。

　　不過Sophos表示，網(wǎng)頁版Android商店的應用銷售方式存在缺陷，因為當用戶通過網(wǎng)頁安裝應用時，無需在手機上再次選擇是否接受這一應用安裝。

　　蘋果iTunes Preview服務幫助用戶通過網(wǎng)站查看應用，但如果用戶希望安裝應用，仍需要進入iTunes軟件才能完成。谷歌的做法與此不同，用戶可以在網(wǎng)頁上直接查看并安裝應用，并遠程將應用安裝至手機。

　　通過谷歌網(wǎng)頁版Android商店，用戶購買的應用將被直接發(fā)送至用戶手機，并自動安裝。研究人員認為，這一方式的問題在于，應用在被安裝至手機時用戶不會看到任何提示。因此，如果有其他人獲取用戶的帳戶信息，那么可以很容易地在用戶手機中安裝應用，而用戶甚至對此毫不知情。

　　此外，Android應用可以利用手機的許多功能，而谷歌將應用的安全問題完全交由用戶自己處理。例如，如果一款應用希望獲取手機中的用戶數(shù)據(jù)，發(fā)送短信，或是跟蹤用戶的地理位置，那么用戶將自行決定是否允許該應用這樣做。然而，新的網(wǎng)頁版Android商店使惡意軟件可以繞過用戶批準的過程，在后臺直接安裝應用。

　　蘋果iOS平臺上的應用均經(jīng)過蘋果的審批，而用戶需要通過iTunes和iPhone等設備手動下載應用。蘋果不允許應用在未經(jīng)用戶允許的情況下在用戶的設備上靜默安裝。

　　不過，只有當用戶的帳號和密碼泄露時，這一安全缺陷才有可能被惡意的第三方利用。在蘋果的iOS平臺上，此前已經(jīng)出現(xiàn)過多起針對用戶密碼的攻擊。然而，蘋果用戶的帳號和密碼被泄露之后，所出現(xiàn)的問題僅僅是帳號被用于未經(jīng)授權的購買。而一旦谷歌用戶的帳號和密碼被泄露，那么用戶的手機上可能會被安裝惡意軟件，導致用戶的各類敏感信息泄露。