Google 2017年12月的Android安全公告中提到了一個漏洞，該漏洞能讓攻擊者繞過應用程序簽名驗證并將惡意代碼注入Android應用程序。 移動安全公司GuardSquare的研究團隊發(fā)現(xiàn)，該漏洞存在于Android操作系統(tǒng)讀取應用程序簽名的機制中。 研究人員表示，Android操作系統(tǒng)會在各個位置檢查字節(jié)，以驗證文件的完整性。如下圖： 對于APK和DEX文件，這些字節(jié)的位置是不同的，研究人員發(fā)現(xiàn)他們可以在APK中注入DEX文件，Android操作系統(tǒng)仍然會認為它正在讀取原始的APK文件。 這是因為DEX的插入過程不會改變Android檢查完整性的字節(jié)，而且文件的簽名也不會改變。研究人員把這個漏洞稱為Janus。 此外，由于更新后的應用程序會繼承原來應用程序的權限，所以通過這種方法，惡意軟件可以通過替換應用來獲取敏感權限。 Janus攻擊的唯一不足之處在于，它不能通過在官方Play商店中推送惡意更新，攻擊者必須讓用戶到第三方應用商店安裝更新。 根據(jù)GuardSquare的報告，Janus漏洞只影響使用v1簽名方案簽名的應用程序。使用簽名方案v2簽署的應用不受影響。 目前，安卓5.0到8.0等版本系統(tǒng)均受影響，預計影響過億用戶。

漏洞補丁

Google已經(jīng)推送更新，其他廠商應該也會陸續(xù)推送，請大家盡快更新補丁。 另外大家盡可能從手機廠商提供的官方應用市場下載安裝應用程序。 若從網(wǎng)頁下載，請確認是應用開發(fā)者官方的網(wǎng)站，并要有https安全標識。 同時，避免安裝未知應用。

本文地址：http://m.gle-technology.com/safety/25792.html

上一篇: ECTouch后臺點擊登錄沒反應的解決辦法
下一篇: ECTouch如何隱藏銷量