有在關心人大概都知道最近的ANDROID大洞 BUG 8219321 跟 9695860 都是非常巧妙的利用ANDROID JAVA ZIP本身的BUG缺陷 直接繞過或騙過簽名驗證的CODE 既然可以繞過驗證,就是說妳沒有APK的signkey都可以輕輕鬆鬆偽裝成原廠 也可以輕輕鬆鬆替換掉內建的任何APP (直接提高version code,以更新安裝操作即可) 因為驗證簽名在framework中是用JarFile,而JARFILE又是用libcore裡面的ZIP 雖然有知道這個問題,沒想到最近居然有"號稱"正派軟體公司(???) 直接明目張膽的使用這個漏洞然後做自己的APP,我只能說實在太囂張了. 如果說是做惡意APP的人不也就學起這招來. 細節可以搜尋google play上的LBE,一款打著免ROOT也可以移除掉內建APP的"防毒"工具. 跟大家分享一下這個消息,也鑒於此,Android似乎有一場很可怕的惡意APP風暴要來了QQ 如果那些惡意程式的作者們,開始研究起這塊, 那老機子(也不用多老,半年前4.2以下的機子),肯定就是全部殲滅了... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.42.206.134