安卓系統(tǒng)年度大漏洞曝光���,每日上千萬的活躍安卓應(yīng)用存在被利用可能,上億用戶都在受影響之列��。12月4號�,Google通過其官方網(wǎng)站通告了高危漏洞CVE-2017-13156(發(fā)現(xiàn)廠商命名為Janus),該漏洞可以讓攻擊者無視安卓簽名機(jī)制�,對未正確簽名的官方應(yīng)用植入任意代碼,目前安卓5.0—8.0等個版本系統(tǒng)均受影響���。
據(jù)了解����,該漏洞存在于Android系統(tǒng)用于讀取應(yīng)用程序簽名的機(jī)制中,會在不影響應(yīng)用簽名的情況下向正常的Android APK 或 DEX 格式中添加惡意代碼�。如果有人想用惡意指令打包成一款應(yīng)用��,安卓系統(tǒng)仍會將其視為可信任應(yīng)用��。
而該漏洞產(chǎn)生的根源在于:一個文件可以同時是APK文件和DEX文件�。騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室負(fù)責(zé)人李旭陽指出�����,攻擊者可以利用該漏洞�,將一個惡意的DEX文件與原始APK文件進(jìn)行拼接,由于Android系統(tǒng)的V1簽名方案在驗(yàn)證簽名時舍棄掉了APK文件前面嵌入的這部分內(nèi)容�,從而不影響APK文件的簽名Android運(yùn)行時將該植入惡意DEX文件的APK文件看作是之前應(yīng)用的合法升級版本并允許這種安裝,從而執(zhí)行惡意DEX代碼���。
(Janus漏洞原理)
李旭陽強(qiáng)調(diào),如果被嵌入惡意DEX代碼的應(yīng)用包含高權(quán)限如系統(tǒng)應(yīng)用�,那么該惡意應(yīng)用可繼承其高權(quán)限�,訪問系統(tǒng)的敏感信息���,甚至完全接管系統(tǒng)。
自Android系統(tǒng)問世以來��,就要求開發(fā)者對應(yīng)用進(jìn)行簽名�。在應(yīng)用進(jìn)行更新時�����,只有更新包的簽名與現(xiàn)有的app的簽名一致的情況下���,Android運(yùn)行時才允許更新包安裝到系統(tǒng)。若app被惡意的攻擊者修改��,系統(tǒng)會拒絕安裝此更新����。這樣可以保證每次的更新一定來自原始的開發(fā)者。
本次曝光的漏洞涉及應(yīng)用的開發(fā)層面�,一旦被不法分子利用,影響用戶量級將過億��。行業(yè)內(nèi)有安全專家更是將其稱呼為“生態(tài)級別的安卓簽名欺騙漏洞”����,并認(rèn)為這是安全年度大洞。
騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室建議廣大用戶安裝并使用手機(jī)管家等安全軟件�����,同時不要安裝不明來源的應(yīng)用;對于APP應(yīng)用廠商而言����,應(yīng)使用signature scheme v2重新簽名相關(guān)應(yīng)用�,并使用自帶代碼防篡改機(jī)制的代碼混淆工具,可以緩解該漏洞影響,除此之外��,對所有更新包除了進(jìn)行簽名校驗(yàn)外���,還需進(jìn)行其它邏輯校驗(yàn)�����,如(升級包字節(jié)大小校驗(yàn)或升級包md5校驗(yàn))。
目前����,騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室已經(jīng)分析并跟進(jìn)Janus漏洞,病毒檢測引擎已經(jīng)支持Janus (CVE-2017-13156)漏洞利用的檢測;手機(jī)廠商���、應(yīng)用分發(fā)市場、瀏覽器等可以通過接入騰訊反詐騙實(shí)驗(yàn)室提供的樣本檢測能力來檢測惡意的病毒樣本����。騰訊安全反詐騙實(shí)驗(yàn)室后續(xù)將持續(xù)關(guān)注黑產(chǎn)攻擊者對該漏洞的利用情況,并及時同步最新進(jìn)展給合作伙伴�����。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議�����,請謹(jǐn)慎對待��。投資者據(jù)此操作�����,風(fēng)險自擔(dān)�。
京公網(wǎng)安備 11010502041587號