Bluebox安全研究团队日前发现一个安卓漏洞，该漏洞允许黑客在不破坏应用数位签名的情况下修改安卓安装包代码。

该漏洞可使在应用商店、手机、终端用户都不会意识到的情况下将合法应用替换为恶意软件。近4年来的所有安卓版本都会受到影响，版本可追溯到Android 1.6。99%的安卓设备，即9亿安卓设备存在该风险。

漏洞是由安卓应用的数位认证和安装存在“差异性”引起，允许安卓安装包在不破坏数位签名的情况下对代码进行修改。诱使用户下载恶意软件，继而窃取安卓移动设备中的数据，也可直接控制移动设备形成僵尸网络。

Bluebox首席技术官Forristal将在7月末的Black Hat USA 2013上披露该漏洞的具体细节。

via[bluebox]