测试之家

Appium android 签名漏洞利用

思寒_seveniruby · 2013年12月13日 · 最后由 mike 回复于 2014年08月26日 · 1646 次阅读

百度安全实验室的这篇文章, 写的很赞.
http://safe.baidu.com/2013-07/androidsignaturemasterkeyvulnerabilitybluebox.html

这个漏洞对于测试人员来说, 反而是福音.
他可以用来提权, 从而实现一些高难度的自动化测试.

百度的 Cafe 框架, 貌似就是基于签名漏洞提权的, 但是是否是这个漏洞就不知道了.
最近 android 的签名漏洞出了好几个.

比如使用 robotium, 在不重新打包签名 qq 的情况下, 可以利用此漏洞实现 qq 的自动化.

1 个赞
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
打赏支持
共收到 1 条回复 时间 点赞
mike #1 · 2014年08月26日

大侠,robotium 会校验 测试 apk 和 被测 apk 的签名是否一致。这个漏洞是修改哪个 apk 呢

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册