android签名漏洞

㈠ 【阿里聚安全·安全周刊】阿里安全潘多拉实验室完美越狱iOS11.2.1|Janus漏洞修改安卓app而不影响签名

关键词：阿里安全潘多拉实验室丨Janus漏洞丨御城河丨编程语言出现漏洞丨APP追踪定位丨银行APP存在漏洞丨安卓统一推送联盟|AhMyth RAT|HP笔记本

本周资讯top3

【越狱苹果】独家探寻阿里安全潘多拉实验室，完美越狱苹果iOS11.2.1

在移动系统安全研究过程中，阿里安全潘多拉实验室通过发现并上报厂商7个安全漏洞，促进系统安全性的提升，其中包括对iOS11.2.1的完美越狱。该实验室成员龙磊在此次攻破中做出了重要贡献，并获得苹果的认可和致谢。

【Android 漏洞】Janus漏洞（CVE-2017-13156）: 修改安卓app而不影响签名

Google在本月4日发布的安全公告中，揭示了一个Android漏洞，允许攻击者修改应用而不影响其原始签名。这一漏洞源于文件同时具备APK和DEX两种类型，其命名灵感源于罗马二元之神Janus，象征着Android系统中的二元性。

【阿里技术】阿里安全技术平台资深专家玄泰解密：“如何防止信息泄露”

面对个人信息泄露事件频发，阿里巴巴通过其御城河数据风险防控体系，有效防止了大规模信息泄露，确保了庞大用户群体的安全。这一体系覆盖数据流转链路的全方位防护，包括预防、发现、定位、处置以及更深层次的立体感知和溯源。

【编程语言】5款最流行编程语言中出现漏洞

在Black Hat Europe 2017安全会议上，研究人员揭示了JavaScript、Perl、PHP、Python和Ruby等五款流行编程语言存在的漏洞，这些漏洞可能使使用这些语言开发的应用程序成为攻击目标。

【手机终端】只需一个app，关了GPS我也知道你在哪

普林斯顿大学的研究人员展示了即便在GPS关闭的情况下，APP也能追踪用户位置的技术。这得益于现代手机的大量传感器，以及外部数据来源的辅助，使得位置追踪变得可能。

【银行APP 漏洞】汇丰等知名银行APP存在关键漏洞，或致数百万用户遭黑客攻击

英国伯明翰大学的安全研究人员发现，多家知名银行移动应用存在关键漏洞，可能导致数百万用户的银行凭证易受黑客中间人攻击。

【安卓联盟】工信部“安卓统一推送联盟”成员公布

工信部旗下中国信息通信研究院泰尔终端实验室倡导成立了“安卓统一推送联盟”，旨在联合厂商制定统一推送服务标准，解决混乱状态，统一推送联盟总部设在北京。

【安全工具】监控Android手机？用它就够了！

AhMyth RAT是一个新兴的开源Android远程访问工具，使用简单GUI界面，适应多种平台，包括Linux、Windows和MacOS，适用于监控和控制Android手机。

【技术分析】惠普笔记本电脑驱动中发现keylogger，官方称这纯属失误

在HP笔记本电脑驱动中发现的keylogger事件，官方表示是由于忘记删除调试代码导致的失误，并已发布更新移除了这些代码。这一事件引发了对驱动程序安全性的深入分析。

㈡ 安卓手机签名漏洞是什么意思

1、Android(安卓)操作系统级高危漏洞：黑客可在不破坏APP数字签名的情况下，篡改任何正常手机应用，并进而控制中招手机，实现偷账号、窃隐私、打电话或发短信等任意行为，从而使手机瞬间沦为“肉鸡”。

2、此签名漏洞由国外媒体率先曝光，存在大部分安卓系统的安装校验机制中，会影响99%的安卓手机。利用该漏洞，黑客可在不破坏数字签名的前提下，篡改包括系统应用在内的任何正常应用的APK安装包文件代码，并植入任意恶意代码。

3、何谓数字签名？数字签名可以保证每个应用程序来源于合法的开发商，安卓系统的安全机制要求所安装的程序必须携带数字签名。凭此签名，系统就能判定一个程序的代码或者APK安装包文件是否被动过手脚。被篡改过的安装包因为无法产生与原始安装包相同的签名而无法实现对原应用的覆盖安装升级。这是整个安卓操作系统得以控制风险的一种至关重要的安全校验机制。

4、解决方法：用户应定期更新手机卫士病毒库，及时查杀利用该漏洞的恶意软件。用户应从官方网站、手机助手等正规、安全的渠道下载手机应用，以免下载到被恶意篡改的带毒程序。