根据Android应用提供商Lookout Mobile Security在本周五发布的报告，安全研究人员日前在谷歌Play官方应用商店中发现了一组恶意软件，该恶意代码库名为“BadNews”，被植入到由4个开发者账户提供的至少32个应用程序当中，目前已被下载900万次。

这次针对Android手机的攻击，之所以能够绕过谷歌应用商店的防御，是因为恶意代码库是在那些无害应用提交到Play商店之后才被注入到它们当中，只有在应用升级之后才会进行攻击。

这也暴露出谷歌应用商店（Google Play）的一个重大安全隐患，一个无害的应用，通过自身的自动升级或在线更新，很可能会变成一个恶意应用。

谷歌应用商店和苹果应用商店在应用的升级处理上并不一样，在苹果应用商店，任何应用如果需要升级，都必须通过苹果官方应用商店升级，应用一般也不会在线下载大量数据文件。而Android就不同，很多应用将数据文件放在SD卡，只提供一个很小的文件下载，运行文件后会下载所需数据文件，这使得Google对这些文件的审核变得不可控。

在应用的升级方面，很多Android应用的升级采取了绕过谷歌官方应用商店Google Play Store而自动下载更新的方式进行，而下载完成后，该应用所获取的权限往往会非常大，这使得谷歌对该应用的升级不可控。

因此，这种漏洞一旦被黑客利用，黑客只要攻击各个应用程序的网站，替换其下载应用数据为恶意应用，就可以对大量Android手机实施攻击，即使这些手机使用的是谷歌官方应用商店。当初Android允许应用自己升级数据文件而不是依靠应用商店，就注定这类攻击无法避免，谷歌要想从根源上阻止这类攻击，只能学习苹果，从根源上断绝应用的在线升级功能，强制应用必须通过谷歌应用商店Google Play进行升级。