Android master key漏洞

最新推荐文章于 2024-01-09 15:38:26 发布
最新推荐文章于 2024-01-09 15:38:26 发布
阅读量8.9k 收藏 4
点赞数
分类专栏: 安全与逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baolong47/article/details/17334903
版权
本文探讨了Android Master Key漏洞(ANDROID-8219321),该漏洞允许恶意apk绕过签名验证,影响2013年5月前的大部分Android设备。文章介绍了漏洞原理、修复措施及具体利用方法,包括Ant打包过程,并提到了Blackhat 2013上的公开披露。
摘要由CSDN通过智能技术生成


我也来说说android master key 漏洞,官方称为ANDROID-8219321

先是在看雪上看到android master key的漏洞,这个号称可以控制95%以上的

android手机(理论上会影响2013年5月以前的android系统,大概是4.3之前的android)。So crazy!不得了,赶紧研究一下。主要参考了以下文章:

http://bbs.pediy.com/showthread.php?p=1197239

http://www.kanxue.com/bbs/showthread.php?t=175129

 

先看看2013年3月和5月官方给出的说法是

3月:

 

Improper installation of unsigned code

ID: ANDROID-8219321

Severity: High

Affected versions: Android 2.0 and greater

 

An inconsistency in the handling of zipfiles during application installation may lead to the installation andexecutio

最低0.47元/天 解锁文章
芋头yy
关注
专栏目录
Android蓝牙协议栈漏洞剖析
新程序圆
08-14 62
蓝牙协议相比其他通信协议如Wi-Fi(802.11)和传统TCP/IP协议要复杂得多。目前的蓝牙核心规范(5.3版本)已高达3085页。这种复杂性使得对蓝牙协议的实现进行安全测试和审计变得更加困难,容易导致协议在实现和使用过程中出现安全漏洞。然而,另一方面,蓝牙协议的复杂性也提高了研究人员和攻击者进行漏洞挖掘的技术门槛,增加了攻克难点的挑战性。图1 蓝牙核心规范封面图2 蓝牙协议栈架构图如图2所示,蓝牙协议栈主要由两部分组成:Host和Controller。
Android keymaster的介绍和总结
baron-周贺贺-代码改变世界ctw
02-02 8280
keymaster官方文档 keymaster接口函数介绍
Android MasterKey漏洞调研报告
11-19
2013年7月初,Bluebox security在准备BlackHat 2013大会的时候,爆出Android应用APK签名验证存在漏洞,可以被绕过,提到现存手机99%存在此漏洞,可以被攻击。此说法吸引了大家对APK签名机制的注意。从7月份到现在,一共四个漏洞被披露,涉及到三个补丁,所以也有很多人说是三个漏洞。 APK签名验证机制被绕过,相当于开发者的公钥被攻击者掌握,所以这一系列漏洞被统称为Master Key(掌握公钥、公钥之主)漏洞。 要想了解APK签名漏洞,首先需要了解APK的文件结构,APK的签名验证机制。在调研了各个漏洞之后,本报告也给出了恶意程序检查方法。本调研报告内容组织如下: 1、APK文件格式 2、APK文件签名 3、APK签名验证过程 4、APK签名漏洞一:文件名重复添加#8219321 5、APK签名漏洞二:本地文件头中extrafieldlength处理不一致 #9695860 6、APK签名漏洞三:主目录记录中ExtraLength负数置零#9695860 7、APK签名漏洞四:本地文件头中filenameLength处理不一致#9950697 8、签名漏洞检查方法之一:双dex文件检查 9、签名漏洞检查方法之二:判断short值大于32767
[翻译]Android Master Key漏洞利用与修复
vip97yigang的专栏
06-12 1450
https://bbs.pediy.com/thread-182195.htm
Android每周专题】masterkey漏洞扫描APP——Bluebox Security Scanner
11-17
用于扫描MasterKey漏洞,请读者放心下载。
Android uncovers master-key 漏洞分析
shuzui1985的专栏
11-24 657
转载:http://drops.wooyun.org/papers/219 0x00 背景 Bluebox的CTO Jeff Forristal在其官⽅方blog爆出一个漏洞叫做UNCOVERING ANDROID MASTER KEY,大致是不篡改签名修改android代码。 Link:http://bluebox.com/corporate-blog/bluebox-un
LBE"免ROOT"利用MasterKey漏洞分析
热门推荐
移动安全研究和Android/iOS/小程序隐私合规
10-28 1万+
目前Android MasterKey漏洞被人们熟知的有以下两种: 1、BlueBox Security 在BlackHat 2013大会上提报的Android MasterKey漏洞。(http://blog.csdn.net/androidsecurity/article/details/9280995) 2、安卓安全小分队在BlueBox Security提报漏洞之后发现的的另一Android MasterKey漏洞。(http://blog.csdn.net/androi
android_openssl-master.zip
12-21
本资源"android_openssl-master.zip"提供了在Qt环境下预编译好的OpenSSL库,便于开发者快速集成到自己的Android项目中,实现安全通信功能。 Qt是一个跨平台的C++图形用户界面应用程序开发框架,广泛用于桌面、移动...
Android第二个签名漏洞#9695860(The Second Master Key)的手动构造利用
大星星的专栏
10-28 3483
参考: 《Android第二个签名漏洞#9695860揭秘》:http://www.colordancer.net/blog/2013/08/26/android-%E7%AC%AC%E4%BA%8C%E4%B8%AA%E7%AD%BE%E5%90%8D%E6%BC%8F%E6%B4%9E-9695860-%E6%8F%AD%E7%A7%98/ 《zip文件格式说明》:http://b
第三种master key解析
爱新觉罗艾琪
04-21 2619
0x0 前言                  Android系统Master Key漏洞一波未平一波又起,昨天,国外安全研究人员爆料Android系统存在第三个Master Key漏洞,黑客可以通过该漏洞完成控制我们的手机。目前,Google官方已经修复了该漏洞,但是由于Android系统更新的推动力更多的来自于各个设备生产商,因此补丁的推送滞后非常严重。我们在这里提醒大家,下载应用
硬件签名方案 android,Android 密钥库系统
weixin_35588980的博客
05-26 279
利用 Android 密钥库系统,您可以在容器中存储加密密钥,从而提高从设备中提取密钥的难度。在密钥进入密钥库后,可以将它们用于加密操作,而密钥材料仍不可导出。此外,它提供了密钥使用的时间和方式限制措施,例如要求进行用户身份验证才能使用密钥,或者限制为只能在某些加密模式中使用。如需了解详情,请参阅安全功能部分。密钥库系统由 Android 4.0(API 级别 14)中引入的 Security 库...
Android签名漏洞
最新发布
Crystal_lpx的专栏
01-09 961
Android证书签名漏洞,是指攻击者可以在不改变原APK的签名情况下修改APK的代码,从而绕过Android的签名认证安全机制。通过植入恶意代码的到仿冒的App中,就可替代原有的App做下载、更新。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。
【数据安全】4. Android 文件级加密(File-based Encryption)之密钥管理
技术总结和分享
11-06 9571
1. FBE 密钥管理简介1. FBE 密钥管理简介在前文中介绍了在HLOS中 FBE 的软件流程,而密钥管理则贯穿于整个流程中。System DE Master key、User DE Master key 和 User CE Master key 以及使用这些 key 加解密文件的流程基本一致,它们的主要区别是针对不同安全等级的存储位置而已。但是当用户设置锁屏密码后,User CE Master key 的认证方式会改变,受用户密码的保护。
手动打造apk利用ANDROID-8219321漏洞(Master Key)绕过android签名校验
大星星的专栏
08-30 7042
测试apk: 安卓读书 Ver:3.8.28(1236) Package:com.jiasoft.swreader 下载地址: http://gdown.baidu.com/data/wisegame/baeae6c8115d22fa/anzhuodushu_1236.apk 分析过程: 反编译目标apk,查看AndroidManifest.xml:
影响99% Android手机漏洞已被发现
亚信安全-云安全博客
07-26 1143
作者:趋势科技 早前有信息安全研究人员披露了一个新的 Android 手机漏洞,该漏洞可能让已安装的应用程序在用户不知情的状况下遭到窜改。几乎所有 Android 设备都受到影响,因为此漏洞Android 1.6(甜甜圈)版本即已存在,目前仅有 Samsung Galaxy S4 修正了这项问题。 此漏洞(有人称之为“Master Key”密钥漏洞)吸引了大批媒体关注,但并非所有的媒体报导
android keymaster作用,Android keymaster的介绍和总结
weixin_36205186的博客
05-27 2608
快速链接:.???????????? 个人博客笔记导读目录(全部) ????????????相关推荐:1、Android keymaster4.0- device集成笔记2、Android keystore/Keymaster的代码导读文章目录一、keymaster需求/要求1、keymaster提供的功能:2、keymaster执行环境要求:4、keymaster对算法的要求:4、访问权限的约束:二、keymaster的实现(函数...
Android KeyStore, KeyStore TA (一)
求变,从思想开始
05-31 4891
Android KeyStore是比较小众的一个模块,随着移动互联网安全的日益突出,这个模块就可以值得研究研究。KeyStore使用 Android上的Keystore目前主要分为两类分别是BKS和AndroidKeyStore。 BKS是一个对Java中的加密库Bouncy Castle精简后的版本,其剔除了一些向创建证书等开发者为很少在Android上使用的功能。而如果应用中需要使用到相关功能...
金融行业密钥详解
老骥伏枥的专栏
08-19 2418
金融行业密钥详解   刘永胜    2005年6月于深圳    金融行业因为对数据比较敏感,所以对数据的加密也相应的比较重视。在其中有关密钥及加密方面的文章很少,并且散发在各个银行及公司的手中,在网上没有专门对这部分进行介绍的。本文对金融行业的密钥进行较深入的介绍,包括象到底什么是主密钥(MasterKey)、传输密钥(MacKey),为什么我们需要这些东西等。    本文采取追源溯本的方式,力求
Android源码学习资料PushTalk-master
PushTalk-master.zip是一个包含Android源码学习相关资料的压缩包文件,该文件的标题表明了它可能是某个Android开源项目的源代码,或者是某个用于教学或个人学习目的的Android项目。在描述中提到,资源部分来源于合法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值