安全专家Jay Freeman发现Android 4.4的另外一个Master Key漏洞，该漏洞允许攻击者绕过签名验证和恶意代码检测，在合法应用中注入恶意代码。

“Android Master Key漏洞”最早于去年7月被发现，几乎99%的设备会受到影响。Master Key漏洞允许攻击者修改任何合法、经过数字签名的应用，注入恶意代码以盗取敏感信息、获得设备的远程执行权限。

该漏洞由Bluebox Labs发现并披露，该问题Google将在稍后的Android 4.3 Jelly Bean版本中修复。Google已经修改检测策略，避免Play Store上的应用被恶意代码修改并提交。

2013年7月，中国的安卓安全小分队也披露了该类似漏洞。

如今Google发布了Android 4.4系统并命名为KitKat，承诺该版本的系统具有更好的安全性、并修复了所有的Master Key漏洞——然而事实证明安全不是绝对的。

安全专家Jay Freeman（同Cydia的开发者Saurik齐名）表示，同样的Master Key漏洞存在于Android 4.4 KitKat系统中，并发布了Python版的exp来演示漏洞的利用。

“昨晚Android 4.4的代码已经更新到AOSP，修复了另个数字签名验证的漏洞，编号 #9950697，虽然这一次漏洞没有之前的严重，但是已经足以通过技术来实现利用。在这篇文章里，我会展现如何通过Python来编写利用程序。”

（译者注：不好意思，原文贴的exp也是张图片）

该漏洞与安卓安全小分队披露的漏洞相似。每个应用都必须由开发者添加自签名证书进行验证，安卓的应用程序管理器决定程序能否共享信息、获得相关权限，并验证开发者的签名。

“即使系统软件是由制造商签名的，具有相同签名证书的系统软件可以做任何事。一般来说，除非你是厂商，才可以做到这点。但通过利用#8219321漏洞，任何人都可以窃取这些证书签名”
“这就导致了一个风险，外部的第三方应用具有跟你一样的签名证书。当你在安装一个你认为无害的游戏时，这个看似由你们厂商发布的应用却获取了系统权限。”
“该漏洞涉及Android应用如何加密验证与安装、修改代码但不影响签名。”

该EXP在不影响签名的情况下通过修改应用程序安装包，从而安装到系统中并获得所有的权限和数据。

尽管目前还没有在Google Play商城中发现利用该漏洞添加恶意代码的程序，未发现有Android用户受到该漏洞的危害，建议不要到非官方商城下载应用。