转：Android应用签名漏洞概念验证代码公布-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

转：Android应用签名漏洞概念验证代码公布

发表于: 2013-7-9 20:13 3050

转：Android应用签名漏洞概念验证代码公布

tonyhj

2013-7-9 20:13

3050

新闻链接：http://www.solidot.org/story?sid=35504
新闻时间：发表于 2013年07月09日 12时05分星期二

上周，移动安全公司Bluebox Security研究人员声称发现了一个Android严重漏洞，这个漏洞允许攻击者修改应用程序的代码但不会改变其加密签名。现在，Via Forensics的安全研究员Pau Oliva Fora在GitHub上发布了一个概念验证模块，能利用验证签名真实性的漏洞。概念验证攻击利用的是开源Android逆向工程工具APKTool，它能逆向工程闭源的二进制Android apps，反编译然后重新编译。Fora的脚本允许用户在重新编译过程中注入恶意代码，最后编译出的二进制程序与原始的合法应用程序有着相同加密签名。Google表示补丁早在今年三月就提供给了OEM和运营商，如三星已经向客户发布了更新，但由于Android系统的碎片化，大量的用户并没有获得更新。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#资讯

收藏・0

免费・0

支持

最新回复 (1)
无情石头雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	无情石头 2 楼转载分享 2013-7-9 20:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tonyhj

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
无情石头雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	无情石头 2 楼转载分享 2013-7-9 20:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复