預警 | Android 高危漏洞可被繞過簽名驗證機制、注入惡意代碼替換合法 APP

據外(wài)媒報道，谷歌上周修補了四十多個安全漏洞，其中(zhōng)一(yī)個高危漏洞允許黑客繞過簽名驗證機制向 Android 應用程序注入惡意代碼，以便惡意版本能夠覆蓋智能手機上的合法應用程序。目前，有數以百萬計的 Android 設備面臨着漏洞造成的嚴重風險。

這個被稱爲 Janus 的漏洞由 GuardSquare 公司首席技術官 Eric Lafortune 在今年夏季發現，他于 7 月份向谷歌報告了這個漏洞 ( cve -2017- 13156 )，谷歌 12 月初發布的 Android 安全公告中(zhōng)顯示，該漏洞在上周四已被修補。

Android Janus 漏洞工(gōng)作方式

研究顯示，這個漏洞駐留在 Android 系統爲一(yī)些應用程序處理 APK 安裝的方式中(zhōng)，使得開(kāi)發者可在 APK 文件中(zhōng)添加額外(wài)的字節代碼而不影響應用程序的簽名。通過研究發現，由于缺少文件完整性檢查，這種添加額外(wài)字節的代碼的情況将允許黑客以 DEX 格式編譯的惡意代碼添加到包含具備有效簽名的合法 APK 中(zhōng)，以便在目标設備上執行惡意代碼而不被發現，便于欺騙程序安裝過程。換句話(huà)說，黑客并不需要修改合法應用程序本身的代碼(使簽名無效)，而是利用這個漏洞向原始應用程序添加一(yī)些額外(wài)的惡意代碼行即可。

當用戶下(xià)載應用程序的更新時，Android 會在運行時将其簽名與原始版本的簽名進行比較。如果簽名匹配，Android 系統将繼續安裝更新程序，更新後的應用程序繼承原始應用程序的權限。因此，一(yī)旦安裝了受感染的應用程序，黑客将擁有與原應用程序相同的系統權限。這意味着黑客可能竊取銀行證書(shū)、讀取消息或進一(yī)步感染目标設備。

攻擊場景

黑客可以使用各種媒介（如垃圾郵件、提供虛假應用程序和更新的第三方應用程序商(shāng)店(diàn)、社會工(gōng)程，甚至是中(zhōng)間人攻擊）傳播包含惡意代碼的“合法的應用程序”。GuardSquare 公司表示，從銀行應用程序、遊戲到 Google 地圖等都可能成爲 Janus 漏洞利用者的目标。此外(wài)，從第三方應用程序商(shāng)店(diàn)下(xià)載的 Android APKs，比如社交媒體(tǐ)或者系統應用程序等也可能成爲攻擊目标。

修補方式

雖然目前谷歌已經修補了 Janus 漏洞，但在設備制造商(shāng)（OEM）爲其發布自定義更新之前，大(dà)多數 Android 用戶的系統漏洞都将無法獲得修複，顯然大(dà)量智能手機用戶還是很容易受到黑客的攻擊。

GuardSquare 稱，受影響的是運行比 Nougat（7.0）更早的 Android 操作系統版本以及任何支持 APK 簽名方案 v1 的   Android 設備。由于此漏洞不會影響支持 APK 簽名方案版本 2 的 Android 7（ Nougat ）和最新版本，因此強烈建議運行較舊(jiù) Android 版本的用戶升級其設備操作系統。但如果你的設備制造商(shāng)既沒有提供安全補丁，也沒有最新的  Android 版本，那麽你就應該時刻保持警惕，盡量不要在谷歌的 Play Store 之外(wài)安裝應用程序和更新，以最大(dà)限度地降低被黑客攻擊的風險。

此外(wài)，GuardSquare 還建議，爲了安全起見 Android 開(kāi)發人員(yuán)需要應用簽名方案 v2，以确保他們的應用程序不能被篡改。