android簽名漏洞

㈠ 【阿里聚安全·安全周刊】阿里安全潘多拉實驗室完美越獄iOS11.2.1|Janus漏洞修改安卓app而不影響簽名

關鍵詞：阿里安全潘多拉實驗室丨Janus漏洞丨御城河丨編程語言出現漏洞丨APP追蹤定位丨銀行APP存在漏洞丨安卓統一推送聯盟|AhMyth RAT|HP筆記本

本周資訊top3

【越獄蘋果】獨家探尋阿里安全潘多拉實驗室，完美越獄蘋果iOS11.2.1

在移動系統安全研究過程中，阿里安全潘多拉實驗室通過發現並上報廠商7個安全漏洞，促進系統安全性的提升，其中包括對iOS11.2.1的完美越獄。該實驗室成員龍磊在此次攻破中做出了重要貢獻，並獲得蘋果的認可和致謝。

【Android 漏洞】Janus漏洞（CVE-2017-13156）: 修改安卓app而不影響簽名

Google在本月4日發布的安全公告中，揭示了一個Android漏洞，允許攻擊者修改應用而不影響其原始簽名。這一漏洞源於文件同時具備APK和DEX兩種類型，其命名靈感源於羅馬二元之神Janus，象徵著Android系統中的二元性。

【阿里技術】阿里安全技術平台資深專家玄泰解密：「如何防止信息泄露」

面對個人信息泄露事件頻發，阿里巴巴通過其御城河數據風險防控體系，有效防止了大規模信息泄露，確保了龐大用戶群體的安全。這一體系覆蓋數據流轉鏈路的全方位防護，包括預防、發現、定位、處置以及更深層次的立體感知和溯源。

【編程語言】5款最流行編程語言中出現漏洞

在Black Hat Europe 2017安全會議上，研究人員揭示了JavaScript、Perl、PHP、Python和Ruby等五款流行編程語言存在的漏洞，這些漏洞可能使使用這些語言開發的應用程序成為攻擊目標。

【手機終端】只需一個app，關了GPS我也知道你在哪

普林斯頓大學的研究人員展示了即便在GPS關閉的情況下，APP也能追蹤用戶位置的技術。這得益於現代手機的大量感測器，以及外部數據來源的輔助，使得位置追蹤變得可能。

【銀行APP 漏洞】匯豐等知名銀行APP存在關鍵漏洞，或致數百萬用戶遭黑客攻擊

英國伯明翰大學的安全研究人員發現，多家知名銀行移動應用存在關鍵漏洞，可能導致數百萬用戶的銀行憑證易受黑客中間人攻擊。

【安卓聯盟】工信部「安卓統一推送聯盟」成員公布

工信部旗下中國信息通信研究院泰爾終端實驗室倡導成立了「安卓統一推送聯盟」，旨在聯合廠商制定統一推送服務標准，解決混亂狀態，統一推送聯盟總部設在北京。

【安全工具】監控Android手機？用它就夠了！

AhMyth RAT是一個新興的開源Android遠程訪問工具，使用簡單GUI界面，適應多種平台，包括Linux、Windows和MacOS，適用於監控和控制Android手機。

【技術分析】惠普筆記本電腦驅動中發現keylogger，官方稱這純屬失誤

在HP筆記本電腦驅動中發現的keylogger事件，官方表示是由於忘記刪除調試代碼導致的失誤，並已發布更新移除了這些代碼。這一事件引發了對驅動程序安全性的深入分析。

㈡ 安卓手機簽名漏洞是什麼意思

1、Android(安卓)操作系統級高危漏洞：黑客可在不破壞APP數字簽名的情況下，篡改任何正常手機應用，並進而控制中招手機，實現偷賬號、竊隱私、打電話或發簡訊等任意行為，從而使手機瞬間淪為「肉雞」。

2、此簽名漏洞由國外媒體率先曝光，存在大部分安卓系統的安裝校驗機制中，會影響99%的安卓手機。利用該漏洞，黑客可在不破壞數字簽名的前提下，篡改包括系統應用在內的任何正常應用的APK安裝包文件代碼，並植入任意惡意代碼。

3、何謂數字簽名？數字簽名可以保證每個應用程序來源於合法的開發商，安卓系統的安全機制要求所安裝的程序必須攜帶數字簽名。憑此簽名，系統就能判定一個程序的代碼或者APK安裝包文件是否被動過手腳。被篡改過的安裝包因為無法產生與原始安裝包相同的簽名而無法實現對原應用的覆蓋安裝升級。這是整個安卓操作系統得以控制風險的一種至關重要的安全校驗機制。

4、解決方法：用戶應定期更新手機衛士病毒庫，及時查殺利用該漏洞的惡意軟體。用戶應從官方網站、手機助手等正規、安全的渠道下載手機應用，以免下載到被惡意篡改的帶毒程序。