Google 2017年12月的Android安全公告中提到了一個漏洞，該漏洞能讓攻擊者繞過應(yīng)用程序簽名驗(yàn)證并將惡意代碼注入Android應(yīng)用程序。 移動安全公司GuardSquare的研究團(tuán)隊(duì)發(fā)現(xiàn)，該漏洞存在于Android操作系統(tǒng)讀取應(yīng)用程序簽名的機(jī)制中。 研究人員表示，Android操作系統(tǒng)會在各個位置檢查字節(jié)，以驗(yàn)證文件的完整性。如下圖： 對于APK和DEX文件，這些字節(jié)的位置是不同的，研究人員發(fā)現(xiàn)他們可以在APK中注入DEX文件，Android操作系統(tǒng)仍然會認(rèn)為它正在讀取原始的APK文件。 這是因?yàn)镈EX的插入過程不會改變Android檢查完整性的字節(jié)，而且文件的簽名也不會改變。研究人員把這個漏洞稱為Janus。 此外，由于更新后的應(yīng)用程序會繼承原來應(yīng)用程序的權(quán)限，所以通過這種方法，惡意軟件可以通過替換應(yīng)用來獲取敏感權(quán)限。 Janus攻擊的唯一不足之處在于，它不能通過在官方Play商店中推送惡意更新，攻擊者必須讓用戶到第三方應(yīng)用商店安裝更新。 根據(jù)GuardSquare的報(bào)告，Janus漏洞只影響使用v1簽名方案簽名的應(yīng)用程序。使用簽名方案v2簽署的應(yīng)用不受影響。 目前，安卓5.0到8.0等版本系統(tǒng)均受影響，預(yù)計(jì)影響過億用戶。

漏洞補(bǔ)丁

Google已經(jīng)推送更新，其他廠商應(yīng)該也會陸續(xù)推送，請大家盡快更新補(bǔ)丁。 另外大家盡可能從手機(jī)廠商提供的官方應(yīng)用市場下載安裝應(yīng)用程序。 若從網(wǎng)頁下載，請確認(rèn)是應(yīng)用開發(fā)者官方的網(wǎng)站，并要有https安全標(biāo)識。 同時，避免安裝未知應(yīng)用。

本文地址：http://www.love62.cn/safety/25792.html

上一篇: ECTouch后臺點(diǎn)擊登錄沒反應(yīng)的解決辦法
下一篇: ECTouch如何隱藏銷量