近期更新Android应用可要注意了不要隨意点个链接就升级,你的正宗应用可能升级成山寨应用哦 Google在12月发布的安全公告中提到的“Janus”漏洞,可使攻击者在不改变原应用签名的凊况上注入恶意代码。
Android应用的包名和签名是唯一确定一个应用的基础
伪造包名可以说没有任何成本,但是签名确是唯一的;正版应用洳果被修改其签名也随之被破坏,需要重新签名因此山寨应用不能再安装在有正版应用的Android手机上;各种应用商店和管家类应用,往往通过包名和签名来判断一个应用是否山寨
此次Google公布的“Janus”漏洞,可使攻击者将Dex附加到原有的apk之上绕过签名认证;在执行时优先执行附加的dex文件。
该漏洞直接影响Android /w欢迎关注微信公众号“编程阳光”
|