聊城资文网
当前位置:首页»时尚创意»漏洞»

安卓系统现数字签名漏洞 有被植入恶意代码风险

安卓系统现“签名漏洞”本报讯 (记者 马亚宁)国外媒体日前报道发现99%的安卓设备存在重大安全漏洞:该漏洞允许黑客在不更改安卓应用程序数字签名的情况下,向应用程序中植入恶意代码,安全专家将该漏洞定义为“安卓系统签名漏洞”。黑客可以利用安卓系……

专题: android 正式签名 2018春夏服装流行元素 2018春流行的条纹元素 高领条纹内搭 

安卓系统现“签名漏洞”

本报讯 (记者 马亚宁)国外媒体日前报道发现99%的安卓设备存在重大安全漏洞:该漏洞允许黑客在不更改安卓应用程序数字签名的情况下,向应用程序中植入恶意代码,安全专家将该漏洞定义为“安卓系统签名漏洞”。黑客可以利用安卓系统签名漏洞完成任意想要完成的任务:比如窃取手机隐私信息、完全控制用户手机等。

作者:马亚宁

a)调试签名在AndroidStudio中强制开启V2签名,如下图所示:正常情况下,每个安卓应用程序都会有一个数字签名,来保证应用程序在发行过程中不被篡改。由于安卓系统签名漏洞的存在,可能出现的情况是:攻击者可能在一个有正常数字签名的应用软件中植入恶意代码,而被篡改过的程序仍然保留正常软件的签名。

由于开发商可能通过使用相同的PackageName来混淆替换已经安装的程序,以此保证签名不同的包不被替换

数字签名是防止要保护的内容被篡改,用非对称加密算法。先对要保护的内容进行消息摘要,用私钥对消息摘要进行加密,生成数字签名,将数字签名和要保护的内容一起分发出去。内容接收者用公钥对数字签名解密得到发送者给的消息摘要A,内容接收者对接收到的内容进行用相同的消息摘要算法处理得到消息摘要B,对比A和B是否相同,来判定传送的内容是否被篡改。正常的APK文件是个ZIP压缩文件,除了应用的可执行文件、资源文件,还包括这些可执行文件、资源文件的摘要信息,数字证书的公钥信息等。并且通过这些签名信息可以确定APP和其开发者的关系。

7、把修改完的Apk拖到的“签名”中,点击“签名”,在Apk目录下会得到一个名字中写有以签名的相同文件。

本文关键字:漏洞    

您至少需要输入5个字

相关内容

编辑精选

copyright © 2017 http://www.lcdzc.cn 聊城资文网 版权所有