Bluebox Security 的 CTO Jeff Forristal 在公司博客上撰文称,黑客可以在不破坏 app 加密签名的情况下修改 APK 代码,如此一来,附带恶意木马的 app 将会被合法地下载。而由于验证签名的 app 有权访问 Android 系统及手机上的所有 app,因此理论上黑客利用这一安全漏洞能够为所欲为。
Forristal 补充道,这一安全漏洞波及范围极广,Android 1.6 及以上系统的设备都将受到影响。
庆幸的是,Google Play 商店里的 app 不会被恶意篡改,因此用户依然可以放心地从该渠道下载 app。由来已久,大部分第三方 Android 商店都是恶意软件的重灾区,这次也不例外。
