谷歌在 2017 年 12 月发布的安卓安全公告中包含一个漏洞修复程序，该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序 ... 这个名为 Janus 的漏洞（CVE-2017-13156）由移动安全公司 GuardSquare 的研究团队发现，该漏洞存在与安卓操作系统用于读取应用程序签名的机制中，会允许恶意应用在不影响应用签名的情况下，向安卓应用的 APK 或 DEX 格式中添加代码 ... 对于 APK 和 DEX 文件，这些字节的位置是不同的，研究人员发现他们可以在 APK 中注入一个 DEX 文件，而安卓操作系统仍会认为它正在读取原始的 APK 文件，因为 DEX 在插入过程不会改变安卓检查完整性的字节，而且文件的签名也不会改变。