香港独立IP空间
香港php空间
美国php空间
域名注册

Google 2017年12月的Android安全公告中提到了一个漏洞,该漏洞能让攻击者绕过应用程序签名验证并将恶意代码注入Android应用程序。

15129699455914 300x109 Android系统高危“Janus”漏洞,绕过签名检测机制,任意篡改App

移动安全公司GuardSquare的研究团队发现,该漏洞存在于Android操作系统读取应用程序签名的机制中。
研究人员表示,Android操作系统会在各个位置检查字节,以验证文件的完整性。如下图:

15129699553382 Android系统高危“Janus”漏洞,绕过签名检测机制,任意篡改App

对于APK和DEX文件,这些字节的位置是不同的,研究人员发现他们可以在APK中注入DEX文件,Android操作系统仍然会认为它正在读取原始的APK文件。

这是因为DEX的插入过程不会改变Android检查完整性的字节,而且文件的签名也不会改变。研究人员把这个漏洞称为Janus。

此外,由于更新后的应用程序会继承原来应用程序的权限,所以通过这种方法,恶意软件可以通过替换应用来获取敏感权限。

Janus攻击的唯一不足之处在于,它不能通过在官方Play商店中推送恶意更新,攻击者必须让用户到第三方应用商店安装更新。

根据GuardSquare的报告,Janus漏洞只影响使用v1签名方案签名的应用程序。使用签名方案v2签署的应用不受影响。

目前,安卓5.0到8.0等版本系统均受影响,预计影响过亿用户。

漏洞补丁

Google已经推送更新,其他厂商应该也会陆续推送,请大家尽快更新补丁。
另外大家尽可能从手机厂商提供的官方应用市场下载安装应用程序。
若从网页下载,请确认是应用开发者官方的网站,并要有https安全标识。
同时,避免安装未知应用。

本文地址:http://www.51php.com/safety/25792.html

喜欢本文或觉得本文对您有帮助,请分享给您的朋友 ^_^

阅读本文的人还阅读: