安卓驚現(xiàn)年度大漏洞 騰訊安全反詐騙實(shí)驗(yàn)室推解決方案

安卓系統(tǒng)年度大漏洞曝光，每日上千萬的活躍安卓應(yīng)用存在被利用可能，上億用戶都在受影響之列。12月4號(hào)，Google通過其官方網(wǎng)站通告了高危漏洞CVE-2017-13156(發(fā)現(xiàn)廠商命名為Janus),該漏洞可以讓攻擊者無視安卓簽名機(jī)制，對(duì)未正確簽名的官方應(yīng)用植入任意代碼，目前安卓5.0—8.0等個(gè)版本系統(tǒng)均受影響。

據(jù)了解，該漏洞存在于Android系統(tǒng)用于讀取應(yīng)用程序簽名的機(jī)制中，會(huì)在不影響應(yīng)用簽名的情況下向正常的Android APK 或 DEX 格式中添加惡意代碼。如果有人想用惡意指令打包成一款應(yīng)用，安卓系統(tǒng)仍會(huì)將其視為可信任應(yīng)用。

而該漏洞產(chǎn)生的根源在于：一個(gè)文件可以同時(shí)是APK文件和DEX文件。騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室負(fù)責(zé)人李旭陽指出，攻擊者可以利用該漏洞，將一個(gè)惡意的DEX文件與原始APK文件進(jìn)行拼接，由于Android系統(tǒng)的V1簽名方案在驗(yàn)證簽名時(shí)舍棄掉了APK文件前面嵌入的這部分內(nèi)容，從而不影響APK文件的簽名Android運(yùn)行時(shí)將該植入惡意DEX文件的APK文件看作是之前應(yīng)用的合法升級(jí)版本并允許這種安裝，從而執(zhí)行惡意DEX代碼。

（Janus漏洞原理）

李旭陽強(qiáng)調(diào)，如果被嵌入惡意DEX代碼的應(yīng)用包含高權(quán)限如系統(tǒng)應(yīng)用，那么該惡意應(yīng)用可繼承其高權(quán)限，訪問系統(tǒng)的敏感信息，甚至完全接管系統(tǒng)。

自Android系統(tǒng)問世以來，就要求開發(fā)者對(duì)應(yīng)用進(jìn)行簽名。在應(yīng)用進(jìn)行更新時(shí)，只有更新包的簽名與現(xiàn)有的app的簽名一致的情況下，Android運(yùn)行時(shí)才允許更新包安裝到系統(tǒng)。若app被惡意的攻擊者修改，系統(tǒng)會(huì)拒絕安裝此更新。這樣可以保證每次的更新一定來自原始的開發(fā)者。

本次曝光的漏洞涉及應(yīng)用的開發(fā)層面，一旦被不法分子利用，影響用戶量級(jí)將過億。行業(yè)內(nèi)有安全專家更是將其稱呼為“生態(tài)級(jí)別的安卓簽名欺騙漏洞”，并認(rèn)為這是安全年度大洞。

騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室建議廣大用戶安裝并使用手機(jī)管家等安全軟件，同時(shí)不要安裝不明來源的應(yīng)用；對(duì)于APP應(yīng)用廠商而言，應(yīng)使用signature scheme v2重新簽名相關(guān)應(yīng)用，并使用自帶代碼防篡改機(jī)制的代碼混淆工具,可以緩解該漏洞影響，除此之外，對(duì)所有更新包除了進(jìn)行簽名校驗(yàn)外，還需進(jìn)行其它邏輯校驗(yàn)，如(升級(jí)包字節(jié)大小校驗(yàn)或升級(jí)包md5校驗(yàn))。

目前，騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室已經(jīng)分析并跟進(jìn)Janus漏洞,病毒檢測(cè)引擎已經(jīng)支持Janus (CVE-2017-13156)漏洞利用的檢測(cè)；手機(jī)廠商、應(yīng)用分發(fā)市場(chǎng)、瀏覽器等可以通過接入騰訊反詐騙實(shí)驗(yàn)室提供的樣本檢測(cè)能力來檢測(cè)惡意的病毒樣本。騰訊安全反詐騙實(shí)驗(yàn)室后續(xù)將持續(xù)關(guān)注黑產(chǎn)攻擊者對(duì)該漏洞的利用情況，并及時(shí)同步最新進(jìn)展給合作伙伴。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。