Android绕过数字签名可修改代码漏洞(CNVD-2013-08957)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2013-07-08漏洞描述
Android是基于Linux开放性内核的操作系统,是Google公司在2007年11月5日公布的手机操作系统。Android安全模块存在安全漏洞。可使攻击者修改APK代码,不破坏应用的加密签名,将合法应用转变为恶意代码的程序。解决建议
谷歌公司确认该漏洞的存在,但未公开漏洞的详细信息,建议手机厂商采用临时修复措施:增加Android系统对APK文件的异常检测,需要修改Android系统的操作系统源文件,该文件路径为:platform/libcore/luni/src/main/java/java/util/zip/ZipFile.java在该文件的readCentralDir()函数结尾处删去如下一行代码:entries.put(newEntry.getName(), newEntry);同时增加如下代码:if (entries.put(newEntry.getName(), newEntry) != null) {throw new ZipException("Duplicate entries: file may have been tampered with");}
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2013-08957 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 N/A
- 用户交互 N/A
- 可用性 部分地
- 保密性 部分地
- 完整性 部分地
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论