安卓驚現(xiàn)年度大漏洞 騰訊安全反詐騙實(shí)驗(yàn)室推解決方案

　　安卓系統(tǒng)年度大漏洞曝光，每日上千萬(wàn)的活躍安卓應(yīng)用存在被利用可能，上億用戶都在受影響之列。12月4號(hào)，Google通過(guò)其官方網(wǎng)站通告了高危漏洞CVE-2017-13156(發(fā)現(xiàn)廠商命名為Janus),該漏洞可以讓攻擊者無(wú)視安卓簽名機(jī)制，對(duì)未正確簽名的官方應(yīng)用植入任意代碼，目前安卓5.0—8.0等個(gè)版本系統(tǒng)均受影響。

　　據(jù)了解，該漏洞存在于Android系統(tǒng)用于讀取應(yīng)用程序簽名的機(jī)制中，會(huì)在不影響應(yīng)用簽名的情況下向正常的Android APK 或 DEX 格式中添加惡意代碼。如果有人想用惡意指令打包成一款應(yīng)用，安卓系統(tǒng)仍會(huì)將其視為可信任應(yīng)用。

　　而該漏洞產(chǎn)生的根源在于：一個(gè)文件可以同時(shí)是APK文件和DEX文件。騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室負(fù)責(zé)人李旭陽(yáng)指出，攻擊者可以利用該漏洞，將一個(gè)惡意的DEX文件與原始APK文件進(jìn)行拼接，由于Android系統(tǒng)的V1簽名方案在驗(yàn)證簽名時(shí)舍棄掉了APK文件前面嵌入的這部分內(nèi)容，從而不影響APK文件的簽名Android運(yùn)行時(shí)將該植入惡意DEX文件的APK文件看作是之前應(yīng)用的合法升級(jí)版本并允許這種安裝，從而執(zhí)行惡意DEX代碼。

　　(Janus漏洞原理)

　　李旭陽(yáng)強(qiáng)調(diào)，如果被嵌入惡意DEX代碼的應(yīng)用包含高權(quán)限如系統(tǒng)應(yīng)用，那么該惡意應(yīng)用可繼承其高權(quán)限，訪問(wèn)系統(tǒng)的敏感信息，甚至完全接管系統(tǒng)。

　　自Android系統(tǒng)問(wèn)世以來(lái)，就要求開(kāi)發(fā)者對(duì)應(yīng)用進(jìn)行簽名。在應(yīng)用進(jìn)行更新時(shí)，只有更新包的簽名與現(xiàn)有的app的簽名一致的情況下，Android運(yùn)行時(shí)才允許更新包安裝到系統(tǒng)。若app被惡意的攻擊者修改，系統(tǒng)會(huì)拒絕安裝此更新。這樣可以保證每次的更新一定來(lái)自原始的開(kāi)發(fā)者。

　　本次曝光的漏洞涉及應(yīng)用的開(kāi)發(fā)層面，一旦被不法分子利用，影響用戶量級(jí)將過(guò)億。行業(yè)內(nèi)有安全專家更是將其稱呼為“生態(tài)級(jí)別的安卓簽名欺騙漏洞”，并認(rèn)為這是安全年度大洞。

　　騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室建議廣大用戶安裝并使用手機(jī)管家等安全軟件，同時(shí)不要安裝不明來(lái)源的應(yīng)用;對(duì)于APP應(yīng)用廠商而言，應(yīng)使用signature scheme v2重新簽名相關(guān)應(yīng)用，并使用自帶代碼防篡改機(jī)制的代碼混淆工具,可以緩解該漏洞影響，除此之外，對(duì)所有更新包除了進(jìn)行簽名校驗(yàn)外，還需進(jìn)行其它邏輯校驗(yàn)，如(升級(jí)包字節(jié)大小校驗(yàn)或升級(jí)包md5校驗(yàn))。

　　目前，騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室已經(jīng)分析并跟進(jìn)Janus漏洞,病毒檢測(cè)引擎已經(jīng)支持Janus (CVE-2017-13156)漏洞利用的檢測(cè);手機(jī)廠商、應(yīng)用分發(fā)市場(chǎng)、瀏覽器等可以通過(guò)接入騰訊反詐騙實(shí)驗(yàn)室提供的樣本檢測(cè)能力來(lái)檢測(cè)惡意的病毒樣本。騰訊安全反詐騙實(shí)驗(yàn)室后續(xù)將持續(xù)關(guān)注黑產(chǎn)攻擊者對(duì)該漏洞的利用情況，并及時(shí)同步最新進(jìn)展給合作伙伴。