安全专家Jay Freeman发现Android 4.4的另外一个Master Key漏洞,该漏洞允许攻击者绕过签名验证和恶意代码检测,在合法应用中注入恶意代码。
“Android Master Key漏洞”最早于去年7月被发现,几乎99%的设备会受到影响。Master Key漏洞允许攻击者修改任何合法、经过数字签名的应用,注入恶意代码以盗取敏感信息、获得设备的远程执行权限。
该漏洞由Bluebox Labs发现并披露,该问题Google将在稍后的Android 4.3 Jelly Bean版本中修复。Google已经修改检测策略,避免Play Store上的应用被恶意代码修改并提交。
2013年7月,中国的安卓安全小分队也披露了该类似漏洞。
如今Google发布了Android 4.4系统并命名为KitKat,承诺该版本的系统具有更好的安全性、并修复了所有的Master Key漏洞——然而事实证明安全不是绝对的。
安全专家Jay Freeman(同Cydia的开发者Saurik齐名)表示,同样的Master Key漏洞存在于Android 4.4 KitKat系统中,并发布了Python版的exp来演示漏洞的利用。
“昨晚Android 4.4的代码已经更新到AOSP,修复了另个数字签名验证的漏洞,编号 #9950697,虽然这一次漏洞没有之前的严重,但是已经足以通过技术来实现利用。在这篇文章里,我会展现如何通过Python来编写利用程序。”
(译者注:不好意思,原文贴的exp也是张图片)
该漏洞与安卓安全小分队披露的漏洞相似。每个应用都必须由开发者添加自签名证书进行验证,安卓的应用程序管理器决定程序能否共享信息、获得相关权限,并验证开发者的签名。
“即使系统软件是由制造商签名的,具有相同签名证书的系统软件可以做任何事。一般来说,除非你是厂商,才可以做到这点。但通过利用#8219321漏洞,任何人都可以窃取这些证书签名” “这就导致了一个风险,外部的第三方应用具有跟你一样的签名证书。当你在安装一个你认为无害的游戏时,这个看似由你们厂商发布的应用却获取了系统权限。” “该漏洞涉及Android应用如何加密验证与安装、修改代码但不影响签名。”
该EXP在不影响签名的情况下通过修改应用程序安装包,从而安装到系统中并获得所有的权限和数据。
尽管目前还没有在Google Play商城中发现利用该漏洞添加恶意代码的程序,未发现有Android用户受到该漏洞的危害,建议不要到非官方商城下载应用。
1、本站提供的源码不保证资源的完整性以及安全性,不附带任何技术服务!
2、本站提供的模板、软件工具等其他资源,均不包含技术服务,请大家谅解!
3、本站提供的资源仅供下载者参考学习,请勿用于任何商业用途,请24小时内删除!
4、如需商用,请购买正版,由于未及时购买正版发生的侵权行为,与本站无关。
5、本站部分资源存放于百度网盘或其他网盘中,请提前注册好百度网盘账号,下载安装百度网盘客户端或其他网盘客户端进行下载;
6、本站部分资源文件是经压缩后的,请下载后安装解压软件,推荐使用WinRAR和7-Zip解压软件。
7、如果本站提供的资源侵犯到了您的权益,请邮件联系: 11210980@qq.com 进行处理!
本文地址:https://www.zycang.com/115254.html
文章转载或复制请以超链接形式并注明来源出处。 本文最后更新于:2023-07-06 18:22:32
声明:某些文章或资源具有时效性,若有 错误 或 所需下载资源 已失效,请联系客服QQ:11210980
请登录后发表评论
注册