按照Android利用供给商Lookout Mobile Security在本周五发布的陈述，安然研究人员日前在谷歌Play官方利用商铺中发现了一组歹意软件，该歹意代码库名为“BadNews”，被植进到由4个开辟者账户供给的起码32个利用法度傍边，今朝已被下载900万次。

　　此次针对Android手机的报复打击，之所以可以或许绕过谷歌利用商铺的防御，是因为歹意代码库是在那些无害利用提交到Play商铺以后才被注进到它们傍边，只有在利用进级以后才会进行报复打击。

　　这也透露出谷歌利用商铺(Google Play)的一个重大年夜安然隐患，一个无害的利用，经由过程本身的主动进级或在线更新，很可能会变成一个歹意利用。

　　谷歌利用商铺和苹果利用商铺在利用的进级措置上其实不一样，在苹果利用商铺，任何利用假定需要进级，都必需经由过程苹果官方利用商铺进级，利用一般也不会在线下载大年夜量数据文件。而Android就不合，良多利用将数据文件放在SD卡，只供给一个很小的文件下载，运行文件后会下载所需数据文件，这使得Google对这些文件的审核变得不成控。

　　在利用的进级方面，良多Android利用的进级采纳了绕过谷歌官方利用商铺Google Play Store而主动下载更新的编制进行，而下载完成后，该利用所获得的权限常常会很是大年夜，这使得谷歌对该利用的进级不成控。

　　是以，这类缝隙一旦被黑客操纵，黑客只要报复打击各个利用法度的网站，替代其下载利用数据为歹意利用，便可以对大年夜量Android手机实施报复打击，即便这些手机利用的是谷歌官方利用商铺。当初Android承诺利用本身进级数据文件而不是依托利用商铺，就注定这类报复打击没法避免，谷歌要想从本源上禁止这类报复打击，只能进修苹果，从本源上断尽利用的在线进级功能，强迫利用必需经由过程谷歌利用商铺Google Play进行进级。