谷歌一直標榜谷歌Play商店不僅在Android應(yīng)用商店也可作為一個值得信賴和應(yīng)用的安全來源。但是，這種安全性僅與Google Play服務(wù)本身一樣強大，并且當其背后的代碼對安全漏洞開放時，房子很容易崩潰。不幸的是，盡管Google已經(jīng)在其Google Play核心庫中彌補了最近的安全漏洞，但應(yīng)用程序開發(fā)人員并未發(fā)揮應(yīng)有的作用，并使自己的應(yīng)用程序和用戶面臨風(fēng)險。

顧名思義，Google Play核心庫是Google移動服務(wù)中最基本和最基本的組件之一，Android應(yīng)用程序可以使用這些庫來簡化開發(fā)人員和用戶的生活。它提供了諸如下載其他語言，資產(chǎn)或功能之類的功能，而無需從Google Play商店中更新應(yīng)用程序本身。Play商店中幾乎所有的Android應(yīng)用程序都使用這些功能，從而使核心庫成為所有Android應(yīng)用程序的關(guān)鍵部分。

不幸的是，Core庫中的一個嚴重漏洞利用了該功能，以使庫實際上執(zhí)行惡意代碼。Check Point Research詳細介紹了漏洞利用的工作方式，如果不加以解決，這是一個非常可怕的漏洞。幸運的是，Google已于去年4月修補了Play Core Library，然后于8月公開披露了該漏洞。

但是，安全研究人員并沒有因此而告終，而是警告應(yīng)用程序開發(fā)人員仍未更新到最新版本的Google Play核心庫。與Google端上完成所有工作的服務(wù)器端修補程序不同，這種修補程序必須由應(yīng)用程序開發(fā)人員通過更新其應(yīng)用程序以使用庫的固定版本來自行應(yīng)用。根據(jù)最近的統(tǒng)計，他們估計Google Play商店中尚未有13%的應(yīng)用程序。

基本上，這意味著這些應(yīng)用程序和用戶仍然容易受到安全專家和黑客現(xiàn)在都知道的安全漏洞的攻擊。雖然一些人對Check Point的報告做出了回應(yīng)并更新了他們的應(yīng)用程序，但一些受歡迎的應(yīng)用程序(包括Microsoft Edge，Moovit和Cyber??link PowerDirector)卻沒有。