上周，移動安全公司 Bluebox Security 研究人員聲稱發現了一個Android 嚴重漏洞，這個漏洞允許攻擊者修改應用程序的代碼但不會改變其加密簽名，這個漏洞從 Android 1.6 開始就一直存在于Android 中，影響過去 4 年間發布的99% 的Android 手機。

據報道，日前，Via Forensics 的安全研究員Pau Oliva Fora 在 GitHub 上發布了一個概念驗證模塊，能利用驗證簽名真實性的漏洞。概念驗證攻擊利用的是開源Android 逆向工程工具 APK Tool，它能逆向工程閉源的二進制Android apps，反編譯然后重新編譯。

Fora 的腳本允許用戶在重新編譯過程中注入惡意代碼，最后編譯出的二進制程序與原始的合法應用程序有著相同加密簽名。

Google 表示補丁早在今年三月就提供給了OEM 和運營商，如三星已經向用戶發布了更新，但由于Android 系統的碎片化，大量的用戶并沒有獲得更新。