Android 台灣中文網

標題: Android重大漏洞概念驗證代碼公佈 [打印本頁]

---

作者: aas54432    時間: 2013-7-9 15:59
標題: Android重大漏洞概念驗證代碼公佈

【全新格式】 暑假時間較長，能馬上提供最新資訊給各位。 但新聞並不是很多，所以畫蛇添足做了美化。 希望大家會喜歡

                               
登錄/註冊後可看大圖

【新聞內容】 上週，移動安全公司Bluebox Security研究人員聲稱發現了一個Android嚴重漏洞，這個漏洞允許攻擊者修改應用程序的代碼但不會改變其加密簽名，這個漏洞從Android 1.6開始就一直存在於Android中，影響過去4年間發布的99%的Android手機。 據Solidot報導，日前，Via Forensics的安全研究員Pau Oliva Fora在GitHub上發布了一個概念驗證模塊，能利用驗證簽名真實性的漏洞。概念驗證攻擊利用的是開源Android逆向工程工具APK Tool，它能逆向工程閉源的二進制Android apps，反編譯然後重新編譯。 Fora的腳本允許用戶在重新編譯過程中註入惡意代碼，最後編譯出的二進製程序與原始的合法應用程序有著相同加密簽名。 Scigliano 還說： Android 使用者也不用太擔心，「我們在利用安全掃瞄工具檢查後，未在 Google Play 或是其他 App 商店中，發現任何使用這個漏洞的證據。Google Play 會持續檢查這個漏洞，而認證程式（Verify Apps）則可以保護從其他商店下載程式的 Android 使用者。」 Google 表示補丁早在今年三月就提供給了OEM和運營商，如三星已經向用戶發布了更新，但由於Android系統的碎片化，大量的用戶並沒有獲得更新。 登錄/註冊後可看大圖

【文章來源】 :http://ppt.cc/aDHZ

【相關文章】 本文章無相關文章連結，(施工中。。。)

【特此聲明】 文章大部份都來自對岸，文章內有“國內、我國” 等敏感字體 皆為疏忽，請至下方留言會有獎賞。 文章有些影片為優酷 ，造成部份瀏覽器和手機 無法觀看 。如有網友找到Youtube且分享者也有獎賞。

【評分美德】 評分是美德，轉貼新聞雖然不累，但您評分應該也不累 評分是系統給的，即使只有1幫助，轉貼者會很欣慰的

【非常感謝】 感謝各位這個禮拜的評分，本人決定繼續虐待動物? 每個禮拜換一隻動物給大家拯救 大家就多多評分囉

一幫助=小雞少被打一巴掌

                               
登錄/註冊後可看大圖

---

作者: 21685723    時間: 2013-7-9 17:49
所以這跟美化時選擇用winrar〝僅儲存〞就可以替換檔案有關係嗎？

---

作者: wolf558432    時間: 2013-7-9 18:49
如果先不管這個
我覺得DCIM資料夾會不定期產生肥大的.thumbnail檔案,
也算是長久以來的漏洞吧=  =
哪有人存個縮圖檔可以臃腫到上百MB甚至幾GB的
容量不夠的早爆了..(果迷看到都笑倒了)

---

作者: 99141083yang    時間: 2013-7-9 19:49
文章讀起來
很像是反編安卓
是漏洞
以後要反編 要更麻煩了~

---

作者: Little-Lei    時間: 2013-7-10 00:40
安卓可以說是處處都漏洞吧
帶來好處相對也帶來缺點
這應該是我們早就知道的是
就看5.0能不能填平的坑洞了
否則使用安卓系統的不都遭殃...

---

作者: sparc2    時間: 2013-7-10 15:05
報導說這個藏有木馬病毒軟體必需被預載才有用, 但是手機製造商沒有笨到預載這種東西吧.

但有提到一個重點是植入木馬同時不破壞sigh過的apk.

若果手機被root後裝木馬病毒軟體這個就跟預載一樣了, 算是利用系統漏洞特性.

root 權限一般是系統軟體才拿得到的. 不隨意給 root 權限可以防備這個漏洞嗎??

Google 這個 Verify Apps程式會否得知手機裡Pro板app不是從商店下載的??

---

歡迎光臨 Android 台灣中文網 (https://apk.tw/)

Powered by Discuz! X3.1