根據Android應用提供商Lookout Mobile Security在本周五發布的報告，安全研究人員日前在谷歌Play官方應用商店中發現了一組惡意軟件，該惡意代碼庫名為“BadNews”，被植入到由4個開發者賬戶提供的至少32個應用程序當中，目前已被下載900萬次。

這次針對Android手機的攻擊，之所以能夠繞過谷歌應用商店的防御，是因為惡意代碼庫是在那些無害應用提交到Play商店之后才被注入到它們當中，只有在應用升級之后才會進行攻擊。

這也暴露出谷歌應用商店（Google Play）的一個重大安全隱患，一個無害的應用，通過自身的自動升級或在線更新，很可能會變成一個惡意應用。

谷歌應用商店和蘋果應用商店在應用的升級處理上并不一樣，在蘋果應用商店，任何應用如果需要升級，都必須通過蘋果官方應用商店升級，應用一般也不會在線下載大量數據文件。而Android就不同，很多應用將數據文件放在SD卡，只提供一個很小的文件下載，運行文件后會下載所需數據文件，這使得Google對這些文件的審核變得不可控。

在應用的升級方面，很多Android應用的升級采取了繞過谷歌官方應用商店Google Play Store而自動下載更新的方式進行，而下載完成后，該應用所獲取的權限往往會非常大，這使得谷歌對該應用的升級不可控。

因此，這種漏洞一旦被黑客利用，黑客只要攻擊各個應用程序的網站，替換其下載應用數據為惡意應用，就可以對大量Android手機實施攻擊，即使這些手機使用的是谷歌官方應用商店。當初Android允許應用自己升級數據文件而不是依靠應用商店，就注定這類攻擊無法避免，谷歌要想從根源上阻止這類攻擊，只能學習蘋果，從根源上斷絕應用的在線升級功能，強制應用必須通過谷歌應用商店Google Play進行升級。