【文件属性】:
文件名称:Android MasterKey漏洞调研报告
文件大小:863KB
文件格式:DOCX
更新时间:2016-12-09 07:00:13
2013年7月初,Bluebox security在准备BlackHat 2013大会的时候,爆出Android应用APK签名验证存在漏洞,可以被绕过,提到现存手机99%存在此漏洞,可以被攻击。此说法吸引了大家对APK签名机制的注意。从7月份到现在,一共四个漏洞被披露,涉及到三个补丁,所以也有很多人说是三个漏洞。
APK签名验证机制被绕过,相当于开发者的公钥被攻击者掌握,所以这一系列漏洞被统称为Master Key(掌握公钥、公钥之主)漏洞。
要想了解APK签名漏洞,首先需要了解APK的文件结构,APK的签名验证机制。在调研了各个漏洞之后,本报告也给出了恶意程序检查方法。本调研报告内容组织如下:
1、APK文件格式
2、APK文件签名
3、APK签名验证过程
4、APK签名漏洞一:文件名重复添加#8219321
5、APK签名漏洞二:本地文件头中extrafieldlength处理不一致 #9695860
6、APK签名漏洞三:主目录记录中ExtraLength负数置零#9695860
7、APK签名漏洞四:本地文件头中filenameLength处理不一致#9950697
8、签名漏洞检查方法之一:双dex文件检查
9、签名漏洞检查方法之二:判断short值大于32767
网友评论
- 不错,,看完很有用
- 不错的资料,虽然最后对我的问题还是没啥帮助
- 学习学习,不错的资料
- 网秦内部资料哦