Google 一直在向用戶宣導從 Play 商店下載安裝 Android 應用程式式值得信賴且具高度安全性的來源,然而這種安全性必須建立在應用程式本身就與 Google Play 商店服務一樣強大,在開發者所使用的程式碼中都必須處於一樣的安全水準才能真正讓防線內外都很堅固。
Google Play 商店應用也不安全,許多流行 Android 應用程式還在用過時版本核心庫
雖然 Google 已經從 Play 商店的核心庫中圍堵了最近的一個安全漏洞,但由於應用程式開發者並沒有跟著往前走,所以間接地將用戶與自家應用暴露在風險之中。Google Play 核心庫就如其名,是整個 GMS 服務中最基礎的組成部分之一,就像一個匣道,用於從應用程式內與 Google Play 服務間進行互動,從動態原始碼根據需要下載的等級、提供特定某些區域而設的資源到與 Google Play 商店的審核機制間交互作用。目前幾乎所有 Play 商店中的應用程式都有用到這個核心庫,包含了 Microsoft Edge 瀏覽器、Whatsapp、Instagram、Facebook,與 Google 自家的 Chrome 瀏覽器也都用上了,讓這個核心庫成為重要的關鍵。
不幸的是,核心庫中有一個重要的缺陷,可使不肖人士利用該漏洞執行惡意程式碼,如果沒有得到解決將會演變成一個大問題。幸好在去年 4 月間已經修補了 Play 核心庫,直到 8 月才公開披露這個漏洞。然而安全人員警告,雖然 Google 已經修復,但還有很多應用程式開發者還沒有與時俱進地跟新到最新版本的核心庫。下面的影片是這個漏洞如何影響用戶安全:
與 Google 端的伺服器修補不同,應用程式開發者必須夠過更新其應用程式來修補核心庫,據估計還有 13% 的應用程式還沒有跟上。Check Point 將容易受到攻擊的應用編列出來,其中,Viber、Booking.com、Grindr 、Moovit 與 Cisco 表示已經補上,其他應用在日後或許也會陸續將漏洞修補好:
◎資料來源:Check Point