假三星韌體app登上Google Play Store，下載數超過千萬

安全研究人員警告，Google Play Store出現一隻假冒三星韌體更新的廣告程式，吸引超過上千萬人次下載，安裝後將造成廣告佔滿手機螢幕，還會讓你白白花錢。Google已經在接獲通知後將之從Play Store下架。

安全廠商CSIS Group研究人員Aleksejs Kuprins指出，這隻程式利用Android手機消費者想到官方app商店下載韌體更新的錯誤觀念來散佈，但這不能怪他們，因為手機廠商的Android OS中經常綑綁多得嚇死人的軟體，消費者很容易搞不清楚。

Updates for Samsung這個名稱讓人以為是三星韌體更新官方app，吸引了超過千萬人次的下載。但app本身和三星一點關聯也沒有。事實上，「Updates for Samsung」會顯示大量廣告，幾乎每點一下就會出現滿版廣告，讓人幾乎看不到app內容。開啟後它會顯示一個WebView視窗，中間是一個網域為update.com的部落格網站，內含一些新聞和Android相關的教學內容，使用者可以在「下載韌體」的區塊搜尋韌體，其中提供免費或付費韌體。

雖然網站允許用戶下載免費韌體，但網站限制下載速度上限為56KBps，這使得下載一個700MB的韌體需要4小時。因此下載過程幾乎都以逾時及失敗收場，這也是最多用戶抱怨的地方。但經測試顯示，即使用穩定網路中也無法完成下載。

等免費韌體下載失敗後，網站會鼓勵使用者前後一年34.99美元的韌體訂閱服務以便加速下載，它另外還提供能解鎖任何電信商的SIM卡，代價為19.99美元起跳。有趣的是，它並非導向Google Play的付費機制，而是要求使用者輸入信用卡號碼，再以HTTPS連線傳送給updato.com網站的API端點。

不過研究人員並未在這個Updates for Samsung發現任何惡意行為，因此嚴格說來只能稱為廣告軟體。不過它帶給使用者的，也只有搾乾使用者荷包並突顯未細讀app說明文字的風險而已。

研究人員建議使用者遵照三星正式路徑「設定」、「About Phone」、「軟體更新」來下載真正、且免費的三星官方韌體。

研究人員通知後，Google周末已經將這款app從Play Store下架。