摘要: Bluebox Security在7月3號(hào)的時(shí)候,在官網(wǎng)上發(fā)布了一個(gè)據(jù)稱99% Android機(jī)器都有的一個(gè)漏洞。國(guó)內(nèi)最早在4號(hào)開始有媒體報(bào)道,并持續(xù)升溫。該漏洞可使攻擊者在不更改Android應(yīng)用程序的開發(fā)者簽名的情況下,對(duì)APK代碼進(jìn)行修改。并且,這個(gè)漏洞涉及到從1.6版本至今全部的Android版本,換句話說,這4年中生產(chǎn)的9億設(shè)備,即當(dāng)今市場(chǎng)上99%的Android產(chǎn)品都面臨這一問題。
看到這樣的報(bào)道,一開始我和我的小伙伴們都不敢相信。因?yàn)楹灻麢C(jī)制用了這么多年,多少大腦袋厚眼鏡的天才們想要顛覆都沒搞定,Bluebox Security怎么可能搞定的呢?不過,由于好奇心驅(qū)使,我開始查看Bluebox Security官方的說法:《UNCOVERING ANDROID MASTER KEY THAT MAKES 99% OF DEVICES VULNERABLE》,我意識(shí)到,這個(gè)問題應(yīng)該不是簽名機(jī)制本身的問題,而是Android安裝APK過程中的校驗(yàn)存在漏洞。
如果是APK安裝校驗(yàn)簽名的漏洞,而這個(gè)Bug又從1.6開始就有,那
閱讀全文