据外媒报道,谷歌上周修补了四十多个安全漏洞,其中一个高危漏洞允许黑客绕过签名验证机制向 Android 应用程序注入恶意代码,以便恶意版本能够覆盖智能手机上的合法应用程序。目前,有数以百万计的 Android 设备面临着漏洞造成的严重风险。
这个被称为 Janus 的漏洞由 GuardSquare 公司首席技术官 Eric Lafortune 在今年夏季发现,他于 7 月份向谷歌报告了这个漏洞 ( cve -2017- 13156 ),谷歌 12 月初发布的 Android 安全公告中显示,该漏洞在上周四已被修补。
Android Janus 漏洞工作方式
研究显示,这个漏洞驻留在 Android 系统为一些应用程序处理 APK 安装的方式中,使得开发者可在 APK 文件中添加额外的字节代码而不影响应用程序的签名。通过研究发现,由于缺少文件完整性检查,这种添加额外字节的代码的情况将允许黑客以 DEX 格式编译的恶意代码添加到包含具备有效签名的合法 APK 中,以便在目标设备上执行恶意代码而不被发现,便于欺骗程序安装过程。换句话说,黑客并不需要修改合法应用程序本身的代码(使签名无效),而是利用这个漏洞向原始应用程序添加一些额外的恶意代码行即可。
当用户下载应用程序的更新时,Android 会在运行时将其签名与原始版本的签名进行比较。如果签名匹配,Android 系统将继续安装更新程序,更新后的应用程序继承原始应用程序的权限。因此,一旦安装了受感染的应用程序,黑客将拥有与原应用程序相同的系统权限。这意味着黑客可能窃取银行证书、读取消息或进一步感染目标设备。
攻击场景
黑客可以使用各种媒介(如垃圾邮件、提供虚假应用程序和更新的第三方应用程序商店、社会工程,甚至是中间人攻击)传播包含恶意代码的“合法的应用程序”。GuardSquare 公司表示,从银行应用程序、游戏到 Google 地图等都可能成为 Janus 漏洞利用者的目标。此外,从第三方应用程序商店下载的 Android APKs,比如社交媒体或者系统应用程序等也可能成为攻击目标。
修补方式
虽然目前谷歌已经修补了 Janus 漏洞,但在设备制造商(OEM)为其发布自定义更新之前,大多数 Android 用户的系统漏洞都将无法获得修复,显然大量智能手机用户还是很容易受到黑客的攻击。
GuardSquare 称,受影响的是运行比 Nougat(7.0)更早的 Android 操作系统版本以及任何支持 APK 签名方案 v1 的 Android 设备。由于此漏洞不会影响支持 APK 签名方案版本 2 的 Android 7( Nougat )和最新版本,因此强烈建议运行较旧 Android 版本的用户升级其设备操作系统。但如果你的设备制造商既没有提供安全补丁,也没有最新的 Android 版本,那么你就应该时刻保持警惕,尽量不要在谷歌的 Play Store 之外安装应用程序和更新,以最大限度地降低被黑客攻击的风险。
此外,GuardSquare 还建议,为了安全起见 Android 开发人员需要应用签名方案 v2,以确保他们的应用程序不能被篡改。
消息来源:thehackernews、threatpost,编译:榆榆
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册