众所周知，谷歌一直管不好自己的应用商店，最近曝出的新闻再次证实了这一点。近期，研究人员报告称来自谷歌官方应用商店的几百款Android应用和Chrome扩展均包含窥探用户文件、篡改剪贴板内容和故障向网页注入未知代码的行为。

研究人员指出，谷歌虽然删除了相当一部分恶意条目，但目前市场上仍有残余。据猜测，全球可能已经有几百万台设备悄然遭受到感染，形势相当严峻。

管理成效可谓一塌糊涂

扩展开发者兼研究人员Wladimir Palant在邮件中写道：“我不喜欢谷歌的做法。”在Chrome出现之前，也就是Firefox还占据份额优势的时代，Mozilla会在扩展程序上架前派员工进行审查。谷歌采取的则是自动审查流程，这种偷工减料式的“妙招”很快被Firefox也学了去。

“由于自动审查经常遗漏恶意扩展，而谷歌又对上报信息处理得非常缓慢（甚至根本不做任何反应），导致用户陷入了非常尴尬的境地。”

长期以来，研究人员和安全倡导者一直希望谷歌能在Play Store对Android应用做出严格审查。而过去这周闹出的大麻烦，也让批评者有了更多支持观点的理由。

本周一，安全公司Dr. Web发现了101款来自Play Store的应用，其总下载数量达到4.21亿次，其中包含允许各种间谍活动的代码，例如：

• 获取指定目录下的文件列表；
• 验证设备上是否存在特定文件或目录；
• 将文件从设备发送给开发者；
• 复制或替换剪贴板中的内容。

ESET研究员Lukas Stefanko分析了Dr. Web报告的应用，并证实了上述结论。他在解释称，要让文件侦听实际起效，用户首先需要批准READ_EXTERNAL_STORAGE权限，该权限允许应用读取存储在设备上的文件。虽然授权过程需要由用户单独认可，但这一授权在其他日常应用中也经常出现，例如照片编辑、下载管理，以及使用多媒体、浏览器应用或相机功能等，所以几乎不会引起用户的警觉。

Dr. Web表示，间谍软件功能由软件开发工具包（SDK）提供。SDK能够自动执行某些常见任务，从而帮助简化开发流程。Dr. Web在研究后发现，启用侦听功能的SDK为SpinOK。但尝试联系SpinOK的开发者后，对方并未回复置评请求。

上周五，安全公司CLoudSEK将使用SpinOK的应用名单扩展到了193个，并表示 其中43个仍在Play软件商店中正常开放。CloudSEK在声明邮件中写道：

Android.Spy.SpinOk间谍软件已经对Android设备构成了巨大威胁，它能够从受感染的设备中收集文件，并将其传输给恶意攻击者。这种未经授权的文件收集行为，无疑会将敏感和个人信息置于暴露或滥用的风险当中。此外，该间谍软件还能篡改剪贴板内容，这进一步加剧了威胁等级，可能允许攻击者访问敏感数据，例如密码、信用卡号或其他机密信息。此类行为可能引发严重影响，导致身份盗用、金融欺诈和其他隐私泄露等。

从谷歌Chrome Web Store获取Chrome扩展的用户这周日子同样不好过。上周三，Palant报告了18个包含故意混淆代码的扩展，这些代码会接入位于serasearchtop[.]com的服务器。在对接完成后，扩展程序会将神秘的JavaScript注入用户查看的每个网页当中。目前这18个扩展程序的下载量约为5500万次。

上周五，安全公司Avast证实了Palant的调查结果，并确定总计32个扩展程序，其报告的下载量为7500万次——但Avast也提醒，具体下载数字可能存在人为夸大。

由于无法查看代码，所以Palant和Avast都无法确定这注入的JavaScript代码到底想要干啥。但双方均怀疑其目的是劫持搜索结果并向用户发送广告垃圾邮件。在他们看来，这些扩展已经不单纯是间谍软件，而上升到了恶意软件的级别。

“这种将任意JavaScript代码注入每个网页的能力有着巨大的滥用可能。而重新定向搜索页面，只是这种滥用可能中的一种具体方式。”

我被感染了吗？

各研究者和安全厂商上报的应用和扩展之间存在一定重合。但必须承认，过去这一周以来，已经发现了几百种被从谷歌官方市场下载了百万、千万次的恶意产品。

除了发布声明模板坚称会认真对待用户安全之外，谷歌公司的代表对于官方市场上存在恶意软件的问题一直避而不谈。该公司通常会在收到上报后迅速删除涉嫌产品，但随后可能因未能审查出风险而将其重新上架，或者是继续遗漏最近申请发布的新恶意软件。

面对此次事件，谷歌公司代表发布了如下声明：

“Google Play始终将用户和开发者的安全视为头等大事。我们审查了最近关于SpinOK SDK的上报，并对违反我公司政策的应用采取了适当处置。用户将受到Google Play Protect的保护，它会警告用户使用Google Play服务的某些已知应用可能在Android设备上表现出恶意行为，此提示对第三方来源的应用同样有效。”

在另一封邮件中，谷歌代表还指出：

“Chrome Web Store为全体开发者制定了必须遵守的用户安全政策。我们认真对待关于扩展程序的安全和隐私声明，在发现有违我公司政策的扩展程序时，我们会采取适当的处置措施。这些上报的扩展程序已被从Chrome Web Store上删除。”

一旦发现用户安装了某一恶意产品，谷歌通常不会通知用户。但您可以参考以下内容确定自己是否受到感染。
Dr. Web公布了完整的恶意应用列表。

成都戴尔台式机、服务器、工作站代理商

销售热线：028-85041134  18380340549

公司地址：成都市武侯区磨子桥新世纪商用中心东17楼B座