Android 台灣中文網

標題: Android重大漏洞概念驗證代碼公佈 [打印本頁]

作者: aas54432    時間: 2013-7-9 15:59
標題: Android重大漏洞概念驗證代碼公佈
本帖最後由 aas54432 於 2013-7-10 07:20 編輯

【全新格式】
暑假時間較長,能馬上提供最新資訊給各位。
但新聞並不是很多,所以畫蛇添足做了美化。
希望大家會喜歡




                               
登錄/註冊後可看大圖


【新聞內容】
上週,移動安全公司Bluebox Security研究人員聲稱發現了一個Android嚴重漏洞,這個漏洞允許攻擊者修改應用程序的代碼但不會改變其加密簽名,這個漏洞從Android 1.6開始就一直存在於Android中,影響過去4年間發布的99%的Android手機。

據Solidot報導,日前,Via Forensics的安全研究員Pau Oliva Fora在GitHub上發布了一個概念驗證模塊,能利用驗證簽名真實性的漏洞。概念驗證攻擊利用的是開源Android逆向工程工具APK Tool,它能逆向工程閉源的二進制Android apps,反編譯然後重新編譯。

Fora的腳本允許用戶在重新編譯過程中註入惡意代碼,最後編譯出的二進製程序與原始的合法應用程序有著相同加密簽名。

Scigliano 還說: Android 使用者也不用太擔心,「我們在利用安全掃瞄工具檢查後,未在 Google Play 或是其他 App 商店中,發現任何使用這個漏洞的證據。Google Play 會持續檢查這個漏洞,而認證程式(Verify Apps)則可以保護從其他商店下載程式的 Android 使用者。」

Google 表示補丁早在今年三月就提供給了OEM和運營商,如三星已經向用戶發布了更新,但由於Android系統的碎片化,大量的用戶並沒有獲得更新。



【文章來源】
:http://ppt.cc/aDHZ


【相關文章】
本文章無相關文章連結,(施工中。。。)


【特此聲明】
文章大部份都來自對岸,文章內有“國內、我國” 等敏感字體 皆為疏忽,請至下方留言會有獎賞。
文章有些影片為優酷 ,造成部份瀏覽器和手機 無法觀看 。如有網友找到Youtube且分享者也有獎賞。



【評分美德】
評分是美德,轉貼新聞雖然不累,但您評分應該也不累
評分是系統給的,即使只有1幫助,轉貼者會很欣慰的



【非常感謝】
感謝各位這個禮拜的評分,本人決定繼續虐待動物?
每個禮拜換一隻動物給大家拯救 大家就多多評分囉



一幫助=小雞少被打一巴掌

                               
登錄/註冊後可看大圖

作者: 21685723    時間: 2013-7-9 17:49
所以這跟美化時選擇用winrar〝僅儲存〞就可以替換檔案有關係嗎?
作者: wolf558432    時間: 2013-7-9 18:49
如果先不管這個
我覺得DCIM資料夾會不定期產生肥大的.thumbnail檔案,
也算是長久以來的漏洞吧=  =
哪有人存個縮圖檔可以臃腫到上百MB甚至幾GB的
容量不夠的早爆了..(果迷看到都笑倒了)
作者: 99141083yang    時間: 2013-7-9 19:49
文章讀起來
很像是反編安卓
是漏洞
以後要反編 要更麻煩了~
作者: Little-Lei    時間: 2013-7-10 00:40
安卓可以說是處處都漏洞吧
帶來好處相對也帶來缺點
這應該是我們早就知道的是
就看5.0能不能填平的坑洞了
否則使用安卓系統的不都遭殃...
作者: sparc2    時間: 2013-7-10 15:05
報導說這個藏有木馬病毒軟體必需被預載才有用, 但是手機製造商沒有笨到預載這種東西吧.

但有提到一個重點是植入木馬同時不破壞sigh過的apk.

若果手機被root後裝木馬病毒軟體這個就跟預載一樣了, 算是利用系統漏洞特性.

root 權限一般是系統軟體才拿得到的. 不隨意給 root 權限可以防備這個漏洞嗎??

Google 這個 Verify Apps程式會否得知手機裡Pro板app不是從商店下載的??





歡迎光臨 Android 台灣中文網 (https://apk.tw/) Powered by Discuz! X3.1