mysql 编程 Firefox java Windows 微软 google apache Android wordpress nginx 云计算 linux centos php shell Ubuntu 程序员 开源 Python

程序員看過來:Android重大漏洞概念驗證代碼已公布

 上周,移動安全公司 Bluebox Security 研究人員聲稱發現了一個 Android 嚴重漏洞,這個漏洞允許攻擊者修改應用程序的代碼但不會改變其加密簽名,這個漏洞從 Android 1.6 開始就一直存在於 Android 中,影響過去 4 年間發布的 99% 的 Android 手機。

        據報道,日前,Via Forensics 的安全研究員 Pau Oliva Fora 在 GitHub 上發布了一個概念驗證模塊,能利用驗證簽名真實性的漏洞。概念驗證攻擊利用的是開源 Android 逆向工程工具 APK Tool,它能逆向工程閉源的二進制 Android apps,反編譯然後重新編譯。

        Fora 的腳本允許用戶在重新編譯過程中註入惡意代碼,最後編譯出的二進制程序與原始的合法應用程序有著相同加密簽名。

        Google 表示補丁早在今年三月就提供給了 OEM 和運營商,如三星已經向用戶發布了更新,但由於 Android 系統的碎片化,大量的用戶並沒有獲得更新。 

延伸阅读

评论