文件名称:
Android MasterKey漏洞调研报告
开发工具:
文件大小: 863kb
下载次数: 0
上传时间: 2013-11-19
详细说明: 2013年7月初,Bluebox security在准备BlackHat 2013大会的时候,爆出Android应用APK签名验证存在漏洞,可以被绕过,提到现存手机99%存在此漏洞,可以被攻击。此说法吸引了大家对APK签名机制的注意。从7月份到现在,一共四个漏洞被披露,涉及到三个补丁,所以也有很多人说是三个漏洞。 APK签名验证机制被绕过,相当于开发者的公钥被攻击者掌握,所以这一系列漏洞被统称为Master Key(掌握公钥、公钥之主)漏洞。 要想了解APK签名漏洞,首先需要了解APK的文件结构,APK的签名验证机制。在调研了各个漏洞之后,本报告也给出了恶意程序检查方法。本调研报告内容组织如下: 1、APK文件格式 2、APK文件签名 3、APK签名验证过程 4、APK签名漏洞一:文件名重复添加#8219321 5、APK签名漏洞二:本地文件头中extrafieldlength处理不一致 #9695860 6、APK签名漏洞三:主目录记录中ExtraLength负数置零#9695860 7、APK签名漏洞四:本地文件头中filenameLength处理不一致#9950697 8、签名漏洞检查方法之一:双dex文件检查 9、签名漏洞检查方法之二:判断s hort值大于32767 ...展开收缩
(系统自动生成,下载前可以参看下载内容)
下载文件列表
相关说明
- 本站资源为会员上传分享交流与学习,如有侵犯您的权益,请联系我们删除.
- 本站是交换下载平台,提供交流渠道,下载内容来自于网络,除下载问题外,其它问题请自行百度。
- 本站已设置防盗链,请勿用迅雷、QQ旋风等多线程下载软件下载资源,下载后用WinRAR最新版进行解压.
- 如果您发现内容无法下载,请稍后再次尝试;或者到消费记录里找到下载记录反馈给我们.
- 下载后发现下载的内容跟说明不相乎,请到消费记录里找到下载记录反馈给我们,经确认后退回积分.
- 如下载前有疑问,可以通过点击"提供者"的名字,查看对方的联系方式,联系对方咨询.
