新闻链接：http://www.csdn.net/article/2013-08-08/2816495-android-sdk-bug-triggers-masterkey-vulnerability
新闻时间：2013-08-08 16:38
新闻正文：最近，Android SDK中的一个Bug再次让业界拉响了警报。在Google Play上，一些用Adobe Air编写的应用都无故被标记为恶意软件。

在此之前，一些真正的恶意软件通过MasterKey中出现的Bug盗用数字签名，最终出现在用户的设备上。没想到Android通过补丁更新解决了之前的问题，新版本的系统又出现了新的漏洞。

著名的软件安全公司Bitdefender在近日公布了他们对此事件的检测结果。通过远程的监测，在用Adobe Air编写的应用中，有1.25%的应用由于MasterKey的Bug发生了错误，这导致了这些应用与新的Android补丁产生了冲突。

图：MasterKey上的Bug导致一些应用无法正常安装

MasterKey上的Bug产生是因为在同一应用的APK安装包上，出现了两个同名文件。当Android设备解压APK安装包时，安装包内部的文件会被提取出来。由于两个同名文件的路径相同，其中一个文件会将另一个文件覆盖，此举触发了可疑事件。备份文件的引入不是一个自发的行为（恶意攻击的时候除外），但是开发者在使用Adobe Air 3.7.0.153版本的时候，MasterKey产生的Bug会给对开发者产生消极的影响。这个问题在今年的4月份就已经在Adobe bugtracker上面提到了。

如果开发者正在使用上述版本号的Adobe Air开发应用，解决的办法就是升级Adobe Air的版本并且重新构建应用。如果由于某种原因导致Adobe Air的版本无法更新，你也可以寻找一下可以修改ZIP文件的工具，用它们打开APK工具包，把同名的文件转移出来，把它们放在\res\drawable-xhdpi文件夹中，并且删除其中一个icon.png的图标文件就可以了。

屡次出现Bug的MasterKey已经成为了初出茅庐的黑客想要成名的众矢之的了，Google接下来将会如何应对？我们拭目以待吧。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课