上周，移動安全公司Bluebox Security研究人員聲稱發現了一個Android嚴重漏洞，這個漏洞允許攻擊者修改應用程序的代碼但不會改變其加密簽名，這個漏洞從Android 1.6開始就一直存在于Android中，影響過去4年間發布的99%的安卓手機。

據Solidot報道，日前，Via Forensics的安全研究員Pau Oliva Fora在GitHub上發布了一個概念驗證模塊，能利用驗證簽名真實性的漏洞。概念驗證攻擊利用的是開源Android逆向工程工具APK Tool，它能逆向工程閉源的二進制Android apps，反編譯然后重新編譯。

Fora的腳本允許用戶在重新編譯過程中注入惡意代碼，最后編譯出的二進制程序與原始的合法應用程序有著相同加密簽名。

Google表示補丁早在今年三月就提供給了OEM和運營商，如三星已經向用戶發布了更新，但由于Android系統的碎片化，大量的用戶并沒有獲得更新。