签名

在本文中,我们将与大家讨论如何滥用Catalog文件签名机制绕过应用程序白名单(AWL),也会给出相应的缓解建议。
本文的目的是帮助安全分析人员分析重新打包及签名iOS应用上可能面临的各种挑战,顺便给出了解决这些问题的一些建议。
2017年7月31日GuardSquare报告了一个签名漏洞并于当天收到确认。Google本月修复了该漏洞,编号CVE-2017-13156。经过360CERT分析确认,该问题确实存在,影响较为严重。攻击者可以绕过签名验证构造新的恶意程序。
Google在本月4日发布的Android安全公告中提到一个Android的漏洞,利用该漏洞的攻击者可修改app而不影响其原始签名。该漏洞产生的根源在于:一个文件可以同时是APK文件和DEX文件。