一种新型技术允许攻击者把恶意安卓应用隐藏在图片中，以逃避防病毒程序的检测和谷歌商店本身的恶意软件扫描器。

两名安全研究人员Ange Albertini和Axelle Apvrille上周在欧洲黑帽大会上，发布了这种技术的概念性验证。Albertini用自己的名字命名这种技术，称之为“Ange加密”。该加密技术 利用某些文件格式的特点，控制使用AES算法的文件加密输入输出操作，在把恶意数据插入文件的同时保持原文件的有效性。

Ange加密基于Python脚本执行，用户可以选择一个输入文件和一个输出文件，然后做一些必要的设置，当输入文件使用指定密钥进行AES加密时，就可以产生用户想要的输出文件。

这种技术思路可以进一步应用到安卓应用程序包中。Apvrille和Albertini开发了一个概念验证式的APK（安卓程序的安装包），可以显示一张星 球大战天行者的照片，该照片为PNG格式。然而，这个APK还可以用特定密钥给图片加密，最终生成第二个隐藏的APK文件。这个APK文件可以是又一张照 片，当然也可以是盗取短信、照片、联系人或其他数据的恶意程序。

为了实现攻击，需要在原始程序的末端附加一些数据。但APK格式的文件有一个名为EOCD（中央目录终止）的标志符，以防止在文件的末端添加数据。但研究人员发现，如果在添加数据的后面再加一个EOCD，安卓系统就会接受该文件的有效性。

该攻击方法在安卓最新的版本4.4.2中有效，但安卓安全团队已经注意到这个漏洞，并在着手开发补丁。

由于安卓生态系统的碎片化，尤其是在固件更新方面，许多安卓设备将在很长一段时间内受到这个漏洞的威胁，因此恶意软件的制作者有充足时间来利用它。

Aprille表示，尽管安卓的安全补丁更新的分发状况已经比三年前好了很多，但这个漏洞很可能会活跃一到两年的时间。（关注“信息安全知识”，回复“隐藏图片”获得该漏洞概念验证代码的地址）

－－－

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛！