2013年4月27日星期六

Google Play商店禁止应用自主更新

  为了提高Google Play应用商店的安全性,谷歌对商店的政策进行了调整。调整后,应用程序无法绕过商店自动升级为新版本。Google新政策称:“除了通过Google Play的更新机制外,从Google Play下载的应用不得以其他任何方式修改、替换或升级自己的APK二进制代码。”

  这意味着,应用程序无法再自动更新,每次发布新版本均需经过谷歌官方批准的渠道。有些恶意应用起初看起来正常,但之后会偷偷更新,进而侵犯用户隐私或实施恶意行为。对于这类应用,此次政策调整是有效的。

  早先我们曾经报道过,一组恶意软件曾被植入谷歌Play官方应用商店,并被下载了900万次,那次攻击之所以能够绕过谷歌应用商店的防御,就是最开始提交到Play商店的是无害应用,而这些应用通过自身的自动升级,却变成了恶意应用。

  除了恶意应用之外,很多Android应用也采取这种自动升级的方法提高权限,开发商将一个容易被审核通过的应用版本提交到谷歌Play商店,然后采取自动升级的方式绕过谷歌官方应用商店,而下载完成后,该应用所获取的权限往往会非常大,有些功能甚至是谷歌应用商店政策所不容许的,这使得谷歌对应用的升级变得不可控。

Google Play商店禁止应用自主更新

  我早先给出的建议是,谷歌要想从根源上阻止这类攻击,只能学习苹果,从根源上断绝应用的在线升级功能,强制应用必须通过谷歌应用商店Google Play进行升级。谷歌通过这次更改果然采取了这种策略,强制应用必须通过应用商店升级。

  不过,针对中国用户来说,这也带来一个问题,很多国行的手机根本没有安装Google Play,对于这些手机上的应用,可能出现无法升级的情况,此外,因为Google服务间歇性被封,中国用户访问Google Play也经常出现无法访问的情况,这也使得安装Google Play在升级应用时遇到困难。

  因此,通常中国用户会在手机上安装其他国内的应用商店,这些国内应用商店对于恶意应用的过滤能力往往很差,很多商店甚至自己发布恶意应用,因此用户通过这些商店升级应用之后,Google所做的这些功夫就白费了。