<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div>Jumping onto this thread way too late (sorry!). The fortunate thing about the 'master key' vuln is that it's *relatively* easy to scan for by looking for duplicate entries in an apk. Lookout just updated our app tonight to scan for this stuff and detect it. Huzzah!</div><div><br></div><div>Others on this list may have also seen recent reports of a 'second master key vuln' - a pretty good write-up is on Android Police <a href="http://www.androidpolice.com/2013/07/11/second-all-access-apk-exploit-is-revealed-just-two-days-after-master-key-goes-public-already-patched-by-google/">here</a>. I can also confirm that this is an exploitable issue, though it's somewhat more difficult to accomplish. Among other things, you need a 'target' app that has a classes.dex file that's smaller than 64k, which is fairly rare. It's proven significantly more difficult to guard against within a client app like Lookout, but we're in the middle of testing a fix for it currently. </div><div><br></div><div>And lastly, I just had to respond to this one:</div><div>> I have to commend Bluebox on<br>> drumming up so much media publicity for their startup…</div><div><br></div><div>They certainly are pretty good at drumming up media publicity, but IMO it's pretty irresponsible to publish that much detail on such a vulnerability with essentially 100% of the userbase still vulnerable. Having a patch in AOSP and CM is one thing, but it sure would've been nice to see them wait for at least some fixed firmwares released. In the meantime… download Lookout? ;)</div><div><br></div><div>-Derek</div><br><div><div>On Jul 8, 2013, at 8:05 AM, Nathan of Guardian wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div>On 07/08/2013 10:20 AM, Daniel McCarney wrote:<br>> It boils down to the way that Android handles duplicate entries in<br>> the APK. It appears you can add two files of the same name and have<br>> only one of them match the signature defined in CERT.SF.<br><br>If there are two of the same file, say classes.dex, or an .so, how<br>does Dalvik choose which one to load? Or does it load them all?<br><br>I suppose the answer must be, it chooses the *wrong* one, at least<br>part of the time, or at some point, enough to activate the attack.<br><br>+n<br></div></blockquote></div><br></body></html>