上周，移動(dòng)安全公司Bluebox Security研究人員聲稱發(fā)現(xiàn)了一個(gè)Android嚴(yán)重漏洞，這個(gè)漏洞允許攻擊者修改應(yīng)用程序的代碼但不會(huì)改變其加密簽名，這個(gè)漏洞從Android 1.6開始就一直存在于Android中，影響過去4年間發(fā)布的99%的安卓手機(jī)。

據(jù)Solidot報(bào)道，日前，Via Forensics的安全研究員Pau Oliva Fora在GitHub上發(fā)布了一個(gè)概念驗(yàn)證模塊，能利用驗(yàn)證簽名真實(shí)性的漏洞。概念驗(yàn)證攻擊利用的是開源Android逆向工程工具APK Tool，它能逆向工程閉源的二進(jìn)制Android apps，反編譯然后重新編譯。

Fora的腳本允許用戶在重新編譯過程中注入惡意代碼，最后編譯出的二進(jìn)制程序與原始的合法應(yīng)用程序有著相同加密簽名。

Google表示補(bǔ)丁早在今年三月就提供給了OEM和運(yùn)營(yíng)商，如三星已經(jīng)向用戶發(fā)布了更新，但由于Android系統(tǒng)的碎片化，大量的用戶并沒有獲得更新。