新闻快讯
< >

预警 : Android高危漏洞可被绕过签名验证机制、注入恶意代码替换合法APP

据外媒报道,谷歌上周修补了四十多个安全漏洞,其中一个高危漏洞允许黑客绕过签名验证机制向Android应用程序注入恶意代码,以便恶意版本能够覆盖智能手机上的合法应用程序。目前,有数以百万计的Android设备面临着漏洞造成的严重风险。

这个被称为Janus 的漏洞由 GuardSquare 公司首席技术官Eric Lafortune在今年夏季发现,他于7月份向谷歌报告了这个漏洞 ( cve -2017- 13156 ),谷歌12月初发布的Android安全公告中显示,该漏洞在上周四已被修补。

预警 : Android高危漏洞可被绕过签名验证机制、注入恶意代码替换合法APP-E安全

Android Janus 漏洞工作方式

研究显示,这个漏洞驻留在 Android 系统为一些应用程序处理APK安装的方式中,使得开发者可在APK文件中添加额外的字节代码而不影响应用程序的签名。通过研究发现,由于缺少文件完整性检查,这种添加额外字节的代码的情况将允许黑客以DEX格式编译的恶意代码添加到包含具备有效签名的合法APK中,以便在目标设备上执行恶意代码而不被发现,便于欺骗程序安装过程。换句话说,黑客并不需要修改合法应用程序本身的代码(使签名无效),而是利用这个漏洞向原始应用程序添加一些额外的恶意代码行即可。

当用户下载应用程序的更新时,Android 会在运行时将其签名与原始版本的签名进行比较。如果签名匹配,Android系统将继续安装更新程序,更新后的应用程序继承原始应用程序的权限。因此,一旦安装了受感染的应用程序,黑客将拥有与原应用程序相同的系统权限。这意味着黑客可能窃取银行证书、读取消息或进一步感染目标设备。

攻击场景

黑客可以使用各种媒介(如垃圾邮件、提供虚假应用程序和更新的第三方应用程序商店、社会工程,甚至是中间人攻击)传播包含恶意代码的“合法的应用程序”。GuardSquare公司表示,从银行应用程序、游戏到Google地图等都可能成为 Janus 漏洞利用者的目标。此外,从第三方应用程序商店下载的 Android APKs,比如社交媒体或者系统应用程序等也可能成为攻击目标。

修补方式

虽然目前谷歌已经修补了Janus漏洞,但在设备制造商(OEM)为其发布自定义更新之前,大多数Android用户的系统漏洞都将无法获得修复,显然大量智能手机用户还是很容易受到黑客的攻击。

GuardSquare称,受影响的是运行比Nougat(7.0)更早的Android操作系统版本以及任何支持APK签名方案v1的Android设备。由于此漏洞不会影响支持APK签名方案版本2的Android 7( Nougat )和最新版本,因此强烈建议运行较旧Android版本的用户升级其设备操作系统。但如果你的设备制造商既没有提供安全补丁,也没有最新的Android版本,那么你就应该时刻保持警惕,尽量不要在谷歌的Play Store之外安装应用程序和更新,以最大限度地降低被黑客攻击的风险。

此外,GuardSquare 还建议,为了安全起见 Android 开发人员需要应用签名方案 v2,以确保他们的应用程序不能被篡改。