0
| 本文作者: 李勤 | 2017-12-10 14:18 |
雷鋒網(wǎng)消息,據(jù)外媒 BleepingComputer 美國時間12月9日報道,谷歌在 2017年12月發(fā)布的安卓安全公告中包含一個漏洞修復程序,該漏洞允許惡意攻擊者繞過應用程序簽名并將惡意代碼注入安卓應用程序。
這個名為 Janus 的漏洞(CVE-2017-13156)由移動安全公司 GuardSquare 的研究團隊發(fā)現(xiàn),該漏洞存在與安卓操作系統(tǒng)用于讀取應用程序簽名的機制中,會允許惡意應用在不影響應用簽名的情況下,向安卓應用的 APK 或 DEX 格式中添加代碼。如果有人想用惡意指令打包成一款應用,安卓系統(tǒng)仍會將其視為可信任應用。
研究人員表示,安卓操作系統(tǒng)在各個位置少量檢查字節(jié),以驗證文件的完整性。對于 APK 和 DEX 文件,這些字節(jié)的位置是不同的,研究人員發(fā)現(xiàn)他們可以在 APK 中注入一個 DEX 文件,而安卓操作系統(tǒng)仍會認為它正在讀取原始的 APK 文件,因為 DEX 在插入過程不會改變安卓檢查完整性的字節(jié),而且文件的簽名也不會改變。
Janus 攻擊的唯一不足之處在于,攻擊者必須引誘用戶下載第三方應用商店中的的應用。研究人員還稱,Janus 漏洞只影響使用應用程序簽名方案v1,使用簽名方案v2簽署的應用不受影響。另外,Janus 僅影響運行 Android 5.0及更高版本的設備。
不過,雷鋒網(wǎng)了解到,國內(nèi)有相關安全研究員將其稱呼為“生態(tài)級別的安卓簽名欺騙漏洞”,并認為這是安全年度大洞,各廠商有得忙了。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
