安卓签名绕过漏洞评估报告：ZIP压缩包同名文件问题分析.pdfVIP

安卓签名绕过评估报告

riusksk

腾讯安全应急响应

2013年7月11日星期四

【概述】

7月初Bluebox公司声称Android存在安全，99%设备受影响。开发者可在不破

解加密签名的前提下修改合规APK包的代码，使得在安装重打包后的软件不会被用户

察觉到，从而执行特定的操作。Bluebox公司的发现者将于本月底在BlackHat2013

USA大会上关于该的细节。

目前，网上已有相应的PoC代码公布，可能已被外部用户利用。因此，评估应急

组对该进行评估，发现该的主要问题在于解析ZIP压缩包中同名文件时存在问题，

而非Android签名机制本身的问题，具体参见后面描述。

【测试代码】

#!/bin/bash

#PoCforAndroidbug8219321by@pof

#+info:

if[-z$1];thenechoUsage:$0file.apk;ex