高危Android漏洞可签名检测机制 注入恶意软件应用程序

本篇文章608字，读完约2分钟

【CCIDI新闻】2017年12月，安卓发布了新的安全公告，但据国外媒体报道，该公告提到了一个漏洞，该漏洞可能允许攻击者修改安卓应用程序代码，而不会影响其签名验证证书。通过绕过应用程序签名验证并将恶意代码注入安卓应用程序，数百万安卓设备面临严重的安全风险。

据报道，这个漏洞是由移动安全公司guardsquare的安全研究人员发现的。研究人员表示，安卓系统的原始设置会检查不同位置的字节，以验证文件的完整性。至于apk和dex文件，它们有不同的位置。经过实验研究，研究人员发现，当他们使用安卓设备处理apk并安装一些应用程序时，他们可以在不影响安卓系统应该读取的原始apk文件和应用程序签名的情况下，向apk添加额外的索引文件。

研究人员称这种脆弱性为骏利。由于缺乏文件完整性检查，此漏洞可能允许攻击者将预先隐藏的恶意代码编译到包含合法代码和有效签名的apk文件中，并最终欺骗程序安装过程在目标设备上执行代码而不被发现。令人担忧的是，在设备制造商发布补丁更新之前，大多数安卓用户不会收到这份安全报告，或者对此一无所知。

然而，你不必太担心。骏利仍然有弱点。它不能在官方应用程序存储中推送恶意更新。此外，该漏洞不影响android7.0 nougat和支持的apk签名方案版本2系统。因此，边肖提醒安卓用户，最好禁止从第三方应用商店下载和安装更新的应用，并及时更新更高版本的安卓操作系统，以防范类似安全风险的存在。