无码免费视频AAAAAAAA片,japan强要videod警妞,天天躁夜夜躁狠狠躁2021,国产精品1区2区3区在线观看

安全公告編號(hào):CNTA-2014-0022

根據(jù)BlueBox在7月30日披露的公告稱，Android 操作系統(tǒng)存在APP FakeID簽名漏洞（CNVD-2014-04764?，對(duì)應(yīng)Google Bug 13678484）。攻擊者可以利用漏洞開(kāi)發(fā)惡意APP并繞過(guò)Android操作系統(tǒng)權(quán)限認(rèn)證限制，發(fā)起后續(xù)攻擊。

漏洞產(chǎn)生原因在于Android校驗(yàn)應(yīng)用身份時(shí)采取的方式存在“單個(gè)證書(shū)充分條件”風(fēng)險(xiǎn)。 PackageManger在安裝APP軟件（APK格式）時(shí)并不校驗(yàn)證書(shū)鏈上所有證書(shū)的合法性，只要存在被指定的簽名（SIGN）能夠校驗(yàn)APK中所有文件的合法性即可。Android操作系統(tǒng)使用getPackageInfo獲取安裝包證書(shū)時(shí)，如果獲取到多個(gè)證書(shū)，只要有一個(gè)證書(shū)可確保APK可信即可。

FakeID簽名漏洞可導(dǎo)致惡意程序取得信賴應(yīng)用的簽名，繞過(guò)Android操作系統(tǒng)的安全驗(yàn)證機(jī)制，在高權(quán)限下甚至可以取得Android終端設(shè)備的控制權(quán)限。潛在的攻擊場(chǎng)景包括：該漏洞可導(dǎo)致使用了webview組件的應(yīng)用被惡意監(jiān)控或隱私數(shù)據(jù)失竊；可能對(duì)Google Wallet類的支付應(yīng)用產(chǎn)生威脅，如可獲得NFC（近距離無(wú)線通信）設(shè)備的控制權(quán)限。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

解決方案：

該漏洞影響部分4.4及所有4.4以下版本的安卓系統(tǒng)， Google已經(jīng)在今年4月針對(duì)這個(gè)代碼為13678484的漏洞發(fā)布修補(bǔ)程序，并通報(bào)給Android合作伙伴。主要在簽名校驗(yàn)的JarVerifier類的代碼JarUtils中，添加了chainCheck的選項(xiàng)，可以對(duì)所有證書(shū)進(jìn)行校驗(yàn)。CNVD技術(shù)組成員單位——奇虎360公司對(duì)該漏洞進(jìn)行了驗(yàn)證。

參考鏈接：

1、漏洞信息

http://bluebox.com/blog/technical/android-fake-id-vulnerability/

http://blogs.#/360mobile/2014/08/04/all-about-fakeid/

2、POC

https://github.com/retme7/FakeID_poc_by_retme_bug_13678484/