为什么 Android 早于 5.0 的版本不容易受到 CVE-2017-13156 的攻击?
Why are Android versions older than 5.0 not vulnerable to CVE-2017-13156?
我刚刚阅读了有关 Janus vulnerability (CVE-2017-13156) 的内容,但有一件事我无法理解。
漏洞存在于APK和Signature Scheme v1(JAR签名)安装的执行过程中。它允许您通过将恶意 DEX 文件添加到合法 APK 来制作恶意 APK 文件。安装恶意 DEX 文件而不是合法 APK 的 DEX 文件。签名(如果使用 v1 方案)没有损坏。
上面 link 中的文章提到了 Android 的易受攻击版本是 5.0 和更高版本(CVE record 提到了 5.1.1 到 8.0,但这不是现在的主要问题).
所以我的问题是:
为什么 5.0 是 Android 的最低漏洞版本? Android 早于 5.0 是否使用不同的签名方案?或者在 Android 5.0 及更高版本和 Android 低于 5.0 的版本上安装 APK 的方式是否有所不同?
ART,Android 运行时从 Android 5.0 开始取代了 Dalvik VM。
显然,ART 漏洞不适用于 Dalvik VM。
我刚刚阅读了有关 Janus vulnerability (CVE-2017-13156) 的内容,但有一件事我无法理解。
漏洞存在于APK和Signature Scheme v1(JAR签名)安装的执行过程中。它允许您通过将恶意 DEX 文件添加到合法 APK 来制作恶意 APK 文件。安装恶意 DEX 文件而不是合法 APK 的 DEX 文件。签名(如果使用 v1 方案)没有损坏。
上面 link 中的文章提到了 Android 的易受攻击版本是 5.0 和更高版本(CVE record 提到了 5.1.1 到 8.0,但这不是现在的主要问题).
所以我的问题是:
为什么 5.0 是 Android 的最低漏洞版本? Android 早于 5.0 是否使用不同的签名方案?或者在 Android 5.0 及更高版本和 Android 低于 5.0 的版本上安装 APK 的方式是否有所不同?
ART,Android 运行时从 Android 5.0 开始取代了 Dalvik VM。
显然,ART 漏洞不适用于 Dalvik VM。