【新聞內容】上週,移動安全公司Bluebox Security研究人員聲稱發現了一個Android嚴重漏洞,這個漏洞允許攻擊者修改應用程序的代碼但不會改變其加密簽名,這個漏洞從Android 1.6開始就一直存在於Android中,影響過去4年間發布的99%的Android手機。
據Solidot報導,日前,Via Forensics的安全研究員Pau Oliva Fora在GitHub上發布了一個概念驗證模塊,能利用驗證簽名真實性的漏洞。概念驗證攻擊利用的是開源Android逆向工程工具APK Tool,它能逆向工程閉源的二進制Android apps,反編譯然後重新編譯。
Fora的腳本允許用戶在重新編譯過程中註入惡意代碼,最後編譯出的二進製程序與原始的合法應用程序有著相同加密簽名。
Scigliano 還說: Android 使用者也不用太擔心,「我們在利用安全掃瞄工具檢查後,未在 Google Play 或是其他 App 商店中,發現任何使用這個漏洞的證據。Google Play 會持續檢查這個漏洞,而認證程式(Verify Apps)則可以保護從其他商店下載程式的 Android 使用者。」
Google 表示補丁早在今年三月就提供給了OEM和運營商,如三星已經向用戶發布了更新,但由於Android系統的碎片化,大量的用戶並沒有獲得更新。
| |
|