上周，移動安全公司 Bluebox Security 研究人員聲稱發(fā)現(xiàn)了一個Android 嚴(yán)重漏洞，這個漏洞允許攻擊者修改應(yīng)用程序的代碼但不會改變其加密簽名，這個漏洞從 Android 1.6 開始就一直存在于Android 中，影響過去 4 年間發(fā)布的99% 的Android 手機(jī)。

據(jù)報道，日前，Via Forensics 的安全研究員Pau Oliva Fora 在 GitHub 上發(fā)布了一個概念驗證模塊，能利用驗證簽名真實性的漏洞。概念驗證攻擊利用的是開源Android 逆向工程工具 APK Tool，它能逆向工程閉源的二進(jìn)制Android apps，反編譯然后重新編譯。

Fora 的腳本允許用戶在重新編譯過程中注入惡意代碼，最后編譯出的二進(jìn)制程序與原始的合法應(yīng)用程序有著相同加密簽名。

Google 表示補(bǔ)丁早在今年三月就提供給了OEM 和運(yùn)營商，如三星已經(jīng)向用戶發(fā)布了更新，但由于Android 系統(tǒng)的碎片化，大量的用戶并沒有獲得更新。