安卓驚現(xiàn)年度大漏洞 騰訊安全反詐騙實驗室推解決方案

安卓系統(tǒng)年度大漏洞曝光，每日上千萬的活躍安卓應(yīng)用存在被利用可能，上億用戶都在受影響之列。12月4號，Google通過其官方網(wǎng)站通告了高危漏洞CVE-2017-13156(發(fā)現(xiàn)廠商命名為Janus),該漏洞可以讓攻擊者無視安卓簽名機制，對未正確簽名的官方應(yīng)用植入任意代碼，目前安卓5.0—8.0等個版本系統(tǒng)均受影響。

據(jù)了解，該漏洞存在于Android系統(tǒng)用于讀取應(yīng)用程序簽名的機制中，會在不影響應(yīng)用簽名的情況下向正常的Android APK 或 DEX 格式中添加惡意代碼。如果有人想用惡意指令打包成一款應(yīng)用，安卓系統(tǒng)仍會將其視為可信任應(yīng)用。

而該漏洞產(chǎn)生的根源在于：一個文件可以同時是APK文件和DEX文件。騰訊安全聯(lián)合實驗室反詐騙實驗室負責(zé)人李旭陽指出，攻擊者可以利用該漏洞，將一個惡意的DEX文件與原始APK文件進行拼接，由于Android系統(tǒng)的V1簽名方案在驗證簽名時舍棄掉了APK文件前面嵌入的這部分內(nèi)容，從而不影響APK文件的簽名Android運行時將該植入惡意DEX文件的APK文件看作是之前應(yīng)用的合法升級版本并允許這種安裝，從而執(zhí)行惡意DEX代碼。

（Janus漏洞原理）

李旭陽強調(diào)，如果被嵌入惡意DEX代碼的應(yīng)用包含高權(quán)限如系統(tǒng)應(yīng)用，那么該惡意應(yīng)用可繼承其高權(quán)限，訪問系統(tǒng)的敏感信息，甚至完全接管系統(tǒng)。

自Android系統(tǒng)問世以來，就要求開發(fā)者對應(yīng)用進行簽名。在應(yīng)用進行更新時，只有更新包的簽名與現(xiàn)有的app的簽名一致的情況下，Android運行時才允許更新包安裝到系統(tǒng)。若app被惡意的攻擊者修改，系統(tǒng)會拒絕安裝此更新。這樣可以保證每次的更新一定來自原始的開發(fā)者。

本次曝光的漏洞涉及應(yīng)用的開發(fā)層面，一旦被不法分子利用，影響用戶量級將過億。行業(yè)內(nèi)有安全專家更是將其稱呼為“生態(tài)級別的安卓簽名欺騙漏洞”，并認為這是安全年度大洞。

騰訊安全聯(lián)合實驗室反詐騙實驗室建議廣大用戶安裝并使用手機管家等安全軟件，同時不要安裝不明來源的應(yīng)用；對于APP應(yīng)用廠商而言，應(yīng)使用signature scheme v2重新簽名相關(guān)應(yīng)用，并使用自帶代碼防篡改機制的代碼混淆工具,可以緩解該漏洞影響，除此之外，對所有更新包除了進行簽名校驗外，還需進行其它邏輯校驗，如(升級包字節(jié)大小校驗或升級包md5校驗)。

目前，騰訊安全聯(lián)合實驗室反詐騙實驗室已經(jīng)分析并跟進Janus漏洞,病毒檢測引擎已經(jīng)支持Janus (CVE-2017-13156)漏洞利用的檢測；手機廠商、應(yīng)用分發(fā)市場、瀏覽器等可以通過接入騰訊反詐騙實驗室提供的樣本檢測能力來檢測惡意的病毒樣本。騰訊安全反詐騙實驗室后續(xù)將持續(xù)關(guān)注黑產(chǎn)攻擊者對該漏洞的利用情況，并及時同步最新進展給合作伙伴。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。