安卓又現高危漏洞，黑客可遠程操控手機

自2008年10月第一部安卓手機面世以來，僅僅過去不到十年，安卓手機的全球市場份額已經達到80%，全世界使用這款系統的設備數量超過20億台，其低廉的售價受到人們的喜愛，可是安卓系統是開源系統，這是安卓手機數量如此之多的原因，但是安卓系統的缺點也是很明顯，安卓系統不安全。

近日，谷歌在12月份發布的安卓系統安全公告中披露了一個名為「Janus"的安卓漏洞（漏洞編號：CVE-2017-13156）。該漏洞可以直接讓攻擊者繞過安卓系統的簽名機制，進而直接對手機app進行篡改，一旦攻擊者將植入惡意代碼的手機App投放到第三方應用市場，被人們安裝，不僅會泄露自己的個人賬號、密碼、照片、等隱私信息，手機還可能會被植入病毒，導致手機被ROOT，甚至被遠程操控。

安卓系統的簽名機制，這是什麼呢？其實這是一種保護機制，自誕生以來，安卓就要求開發者對應用進行簽名。在應用進行更新時，只有安裝包的簽名與現有的App簽名相同時，安卓系統才允許安裝包安裝到系統，而攻擊者無法獲得原始開發者的私鑰，系統會拒絕安裝此應用。這樣可以保證安全。

這個漏洞的原理，看下圖你就明白了。

攻擊者利用這種二元性，將一個惡意的DEX文件與原始APK文件進行拼接，從而不影響APK文件的簽名。安卓系統運行時就會將帶有惡意的DEX文件的APK文件看作是之前App的合法的升級版，允許這種安裝，然後從DEX的頭部開始執行。而這裡的DEX就可以是任意的符合DEX格式的文件了，可以帶有攻擊者的惡意代碼，如果被升級的App是一個具有高許可權的App，比如系統應用，那麼該惡意應用就可以繼承其最高許可權，訪問系統的敏感信息，甚至完全接管系統。

但是這個」Janus「漏洞是怎樣爆發的呢？谷歌公司發布了新的簽名認證體系Signature scheme V2。由於此簽名認證體系需要對App進行重新發布，而大量已經保存的App APK無法使用V2校驗機制，所以為了保證向前兼容性，V1的校驗方式仍被保留，這就導致了」Janus"漏洞的出現。

我們應該怎樣防範呢？一、對於安卓手機用戶來說：

1.儘快升級到最新版安卓系統.

2.短期內，盡量到手機自帶的官方應用商店更新；若從網頁下載，請確認是應用開發者官方網站，並帶有https安全標識。

3.不要下載位置應用。

二、對於應用開發者：

1.儘快將App APK升級到最新版本的Signauture scheme V2簽名機制。

2.及時校驗App APK文件的開始位元組，確保App時未被篡改的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！