安卓年度大洞現身：能讓惡意代碼進入已簽名應用

雷鋒網消息，據外媒 BleepingComputer 美國時間12月9日報道，谷歌在 2017年12月發布的安卓安全公告中包含一個漏洞修復程序，該漏洞允許惡意攻擊者繞過應用程序簽名並將惡意代碼注入安卓應用程序。

這個名為 Janus 的漏洞（CVE-2017-13156）由移動安全公司 GuardSquare 的研究團隊發現，該漏洞存在與安卓操作系統用於讀取應用程序簽名的機制中，會允許惡意應用在不影響應用簽名的情況下，向安卓應用的 APK 或 DEX 格式中添加代碼。如果有人想用惡意指令打包成一款應用，安卓系統仍會將其視為可信任應用。

研究人員表示，安卓操作系統在各個位置少量檢查位元組，以驗證文件的完整性。對於 APK 和 DEX 文件，這些位元組的位置是不同的，研究人員發現他們可以在 APK 中注入一個 DEX 文件，而安卓操作系統仍會認為它正在讀取原始的 APK 文件，因為 DEX 在插入過程不會改變安卓檢查完整性的位元組，而且文件的簽名也不會改變。

Janus 攻擊的唯一不足之處在於，攻擊者必須引誘用戶下載第三方應用商店中的的應用。研究人員還稱，Janus 漏洞隻影響使用應用程序簽名方案v1，使用簽名方案v2簽署的應用不受影響。另外，Janus 僅影響運行 Android 5.0及更高版本的設備。

不過，雷鋒網了解到，國內有相關安全研究員將其稱呼為「生態級別的安卓簽名欺騙漏洞」，並認為這是安全年度大洞，各廠商有得忙了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！