聊城资文网
当前位置:首页»时尚创意»签名

安卓年度大洞现身:能让恶意代码进入已签名应用

原标题:安卓年度大洞现身:能让恶意代码进入已签名应用雷锋网消息,据外媒 BleepingComputer 美国时间12月9日报道,谷歌在 2017年12月发布的安卓安全公告中包含一个漏洞修复程序,该漏洞允许恶意攻击者绕过应用程序签名并将恶意……

专题: android签名文件 android 正式签名 潮百搭女装 2018春夏服装流行元素 

原标题:安卓年度大洞现身:能让恶意代码进入已签名应用

雷锋网消息,据外媒 BleepingComputer 美国时间12月9日报道,谷歌在 2017年12月发布的安卓安全公告中包含一个漏洞修复程序,该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序。

这个名为 Janus 的漏洞(CVE-2017-13156)由移动安全公司 GuardSquare 的研究团队发现,该漏洞存在与安卓操作系统用于读取应用程序签名的机制中,会允许恶意应用在不影响应用签名的情况下,向安卓应用的 APK 或 DEX 格式中添加代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。

研究人员表示,安卓操作系统在各个位置少量检查字节,以验证文件的完整性。对于 APK 和 DEX 文件,这些字节的位置是不同的,研究人员发现他们可以在 APK 中注入一个 DEX 文件,而安卓操作系统仍会认为它正在读取原始的 APK 文件,因为 DEX 在插入过程不会改变安卓检查完整性的字节,而且文件的签名也不会改变。

Janus 攻击的唯一不足之处在于,攻击者必须引诱用户下载第三方应用商店中的的应用。研究人员还称,Janus 漏洞只影响使用应用程序签名方案v1,使用签名方案v2签署的应用不受影响。另外,Janus 仅影响运行 Android 5.0及更高版本的设备。

不过,雷锋网了解到,国内有相关安全研究员将其称呼为“生态级别的安卓签名欺骗漏洞”,并认为这是安全年度大洞,各厂商有得忙了。

360手机安全专家表示,Saurik所发现的签名漏洞同样可以使黑客可在不破坏数字签名的情况下,篡改任何正常手机应用,例如植入偷账号、窃隐私或恶意扣费等各种木马程序,存在很大的不确定性,对用户的威胁较大。据悉,包括360、赛门铁克等安全厂商均已经在中国发现利用该漏洞的手机木马。

b)开发者生成密钥并签名把的格式转换成PKCS#8,这里指定了-nocryp,表示不加密,所以签名时不用输入密码

通用签名风险示例8月2日最新消息,苹果越狱市场Cydia的创始人Saurik发现了一个新的Android系统签名漏洞,这也是自7月初首个安卓签名漏洞曝光以来,近一个月内被发现的第三个签名漏洞。就在不久前,国内最大的互联网安全厂商360已经先后截获了两批使用安卓签名漏洞的手机木马,证实利用该漏洞的攻击已经入侵中国的安卓应用市场。

本报讯(记者马亚宁)国外媒体日前报道发现99%的安卓设备存在重大安全漏洞:该漏洞允许黑客在不更改安卓应用程序数字签名的情况下,向应用程序中植入恶意代码,安全专家将该漏洞定义为“安卓系统签名漏洞”。黑客可以利用安卓系统签名漏洞完成任意想要完成的任务:比如窃取手机隐私信息、完全控制用户手机等。

对于普通的用默认debug.keystore证书签名的App,如果在AndroidManfiest.xml的manifest节点加入android:sharedUserId=”android.uid.system”这个属性,安装时会提示错误:

本文关键字:签名    安卓    

您至少需要输入5个字

相关内容

编辑精选

copyright © 2017 http://www.lcdzc.cn 聊城资文网 版权所有