雷鋒網(wǎng)消息，據(jù)外媒 BleepingComputer 美國(guó)時(shí)間12月9日?qǐng)?bào)道，谷歌在 2017年12月發(fā)布的安卓安全公告中包含一個(gè)漏洞修復(fù)程序，該漏洞允許惡意攻擊者繞過應(yīng)用程序簽名并將惡意代碼注入安卓應(yīng)用程序。

這個(gè)名為 Janus 的漏洞（CVE-2017-13156）由移動(dòng)安全公司 GuardSquare 的研究團(tuán)隊(duì)發(fā)現(xiàn)，該漏洞存在與安卓操作系統(tǒng)用于讀取應(yīng)用程序簽名的機(jī)制中，會(huì)允許惡意應(yīng)用在不影響應(yīng)用簽名的情況下，向安卓應(yīng)用的 APK 或 DEX 格式中添加代碼。如果有人想用惡意指令打包成一款應(yīng)用，安卓系統(tǒng)仍會(huì)將其視為可信任應(yīng)用。

研究人員表示，安卓操作系統(tǒng)在各個(gè)位置少量檢查字節(jié)，以驗(yàn)證文件的完整性。對(duì)于 APK 和 DEX 文件，這些字節(jié)的位置是不同的，研究人員發(fā)現(xiàn)他們可以在 APK 中注入一個(gè) DEX 文件，而安卓操作系統(tǒng)仍會(huì)認(rèn)為它正在讀取原始的 APK 文件，因?yàn)?DEX 在插入過程不會(huì)改變安卓檢查完整性的字節(jié)，而且文件的簽名也不會(huì)改變。

Janus 攻擊的唯一不足之處在于，攻擊者必須引誘用戶下載第三方應(yīng)用商店中的的應(yīng)用。研究人員還稱，Janus 漏洞只影響使用應(yīng)用程序簽名方案v1，使用簽名方案v2簽署的應(yīng)用不受影響。另外，Janus 僅影響運(yùn)行 Android 5.0及更高版本的設(shè)備。

不過，雷鋒網(wǎng)了解到，國(guó)內(nèi)有相關(guān)安全研究員將其稱呼為“生態(tài)級(jí)別的安卓簽名欺騙漏洞”，并認(rèn)為這是安全年度大洞，各廠商有得忙了。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。