信息來源:hackernews
據(jù)外媒報(bào)道�����,谷歌上周修補(bǔ)了四十多個(gè)安全漏洞�,其中一個(gè)高危漏洞允許黑客繞過簽名驗(yàn)證機(jī)制向 Android 應(yīng)用程序注入惡意代碼�����,以便惡意版本能夠覆蓋智能手機(jī)上的合法應(yīng)用程序�����。目前,有數(shù)以百萬(wàn)計(jì)的 Android 設(shè)備面臨著漏洞造成的嚴(yán)重風(fēng)險(xiǎn)�����。
這個(gè)被稱為 Janus 的漏洞由 GuardSquare 公司首席技術(shù)官 Eric Lafortune 在今年夏季發(fā)現(xiàn)�����,他于 7 月份向谷歌報(bào)告了這個(gè)漏洞 ( cve -2017- 13156 )�,谷歌 12 月初發(fā)布的 Android 安全公告中顯示�,該漏洞在上周四已被修補(bǔ)。
Android Janus 漏洞工作方式
研究顯示�,這個(gè)漏洞駐留在 Android 系統(tǒng)為一些應(yīng)用程序處理 APK 安裝的方式中,使得開發(fā)者可在 APK 文件中添加額外的字節(jié)代碼而不影響應(yīng)用程序的簽名�。通過研究發(fā)現(xiàn),由于缺少文件完整性檢查�,這種添加額外字節(jié)的代碼的情況將允許黑客以 DEX 格式編譯的惡意代碼添加到包含具備有效簽名的合法 APK 中,以便在目標(biāo)設(shè)備上執(zhí)行惡意代碼而不被發(fā)現(xiàn)�,便于欺騙程序安裝過程。換句話說�����,黑客并不需要修改合法應(yīng)用程序本身的代碼(使簽名無(wú)效),而是利用這個(gè)漏洞向原始應(yīng)用程序添加一些額外的惡意代碼行即可�。
當(dāng)用戶下載應(yīng)用程序的更新時(shí),Android 會(huì)在運(yùn)行時(shí)將其簽名與原始版本的簽名進(jìn)行比較�。如果簽名匹配,Android 系統(tǒng)將繼續(xù)安裝更新程序�����,更新后的應(yīng)用程序繼承原始應(yīng)用程序的權(quán)限�����。因此�,一旦安裝了受感染的應(yīng)用程序,黑客將擁有與原應(yīng)用程序相同的系統(tǒng)權(quán)限�。這意味著黑客可能竊取銀行證書、讀取消息或進(jìn)一步感染目標(biāo)設(shè)備�����。
攻擊場(chǎng)景
黑客可以使用各種媒介(如垃圾郵件�����、提供虛假應(yīng)用程序和更新的第三方應(yīng)用程序商店�����、社會(huì)工程,甚至是中間人攻擊)傳播包含惡意代碼的“合法的應(yīng)用程序”�。GuardSquare 公司表示,從銀行應(yīng)用程序�、游戲到 Google 地圖等都可能成為 Janus 漏洞利用者的目標(biāo)。此外�,從第三方應(yīng)用程序商店下載的 Android APKs,比如社交媒體或者系統(tǒng)應(yīng)用程序等也可能成為攻擊目標(biāo)�����。
修補(bǔ)方式
雖然目前谷歌已經(jīng)修補(bǔ)了 Janus 漏洞�,但在設(shè)備制造商(OEM)為其發(fā)布自定義更新之前�����,大多數(shù) Android 用戶的系統(tǒng)漏洞都將無(wú)法獲得修復(fù)�,顯然大量智能手機(jī)用戶還是很容易受到黑客的攻擊。
GuardSquare 稱�����,受影響的是運(yùn)行比 Nougat(7.0)更早的 Android 操作系統(tǒng)版本以及任何支持 APK 簽名方案 v1 的 Android 設(shè)備�����。由于此漏洞不會(huì)影響支持 APK 簽名方案版本 2 的 Android 7( Nougat )和最新版本,因此強(qiáng)烈建議運(yùn)行較舊 Android 版本的用戶升級(jí)其設(shè)備操作系統(tǒng)�����。但如果你的設(shè)備制造商既沒有提供安全補(bǔ)丁�����,也沒有最新的 Android 版本�����,那么你就應(yīng)該時(shí)刻保持警惕�,盡量不要在谷歌的 Play Store 之外安裝應(yīng)用程序和更新,以最大限度地降低被黑客攻擊的風(fēng)險(xiǎn)�����。
此外�����,GuardSquare 還建議�����,為了安全起見 Android 開發(fā)人員需要應(yīng)用簽名方案 v2,以確保他們的應(yīng)用程序不能被篡改�����。
