新闻动态
研究员公布Android应用签名漏洞概念验证代码
发布日期:2013/7/9
文章来源:红黑联盟
 

上周,移动安全公司Bluebox Security研究人员声称发现了一个Android严重漏洞,这个漏洞允许攻击者修改应用程序的代码但不会改变其加密签名。
    现在,Via Forensics的安全研究员Pau Oliva Fora在GitHub上发布了一个概念验证模块,能利用验证签名真实性的漏洞。
    概念验证攻击利用的是开源Android逆向工程工具APKTool,它能逆向工程闭源的二进制Android apps,反编译然后重新编译。
    Fora的脚本允许用户在重新编译过程中注入恶意代码,最后编译出的二进制程序与原始的合法应用程序有着相同加密签名。
    Google表示补丁早在今年三月就提供给了OEM和运营商,如三星已经向客户发布了更新,但由于Android系统的碎片化,大量的用户并没有获得更新。

点击次数:2253
修改日期:2013/7/9