安卓年度大洞现身:能让恶意代码进入已签名应用

雷锋网消息,据外媒 BleepingComputer 美国时间12月9日报道,谷歌在 2017年12月发布的安卓安全公告中包含一个漏洞修复程序,该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序。

这个名为 Janus 的漏洞(CVE-2017-13156)由移动安全公司 GuardSquare 的研究团队发现,该漏洞存在与安卓操作系统用于读取应用程序签名的机制中,会允许恶意应用在不影响应用签名的情况下,向安卓应用的 APK 或 DEX 格式中添加代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。

研究人员表示,安卓操作系统在各个位置少量检查字节,以验证文件的完整性。对于 APK 和 DEX 文件,这些字节的位置是不同的,研究人员发现他们可以在 APK 中注入一个 DEX 文件,而安卓操作系统仍会认为它正在读取原始的 APK 文件,因为 DEX 在插入过程不会改变安卓检查完整性的字节,而且文件的签名也不会改变。

Janus 攻击的唯一不足之处在于,攻击者必须引诱用户下载第三方应用商店中的的应用。研究人员还称,Janus 漏洞只影响使用应用程序签名方案v1,使用签名方案v2签署的应用不受影响。另外,Janus 仅影响运行 Android 5.0及更高版本的设备。

不过,雷锋网(公众号:雷锋网)了解到,国内有相关安全研究员将其称呼为“生态级别的安卓签名欺骗漏洞”,并认为这是安全年度大洞,各厂商有得忙了。

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/111411.html

(0)
上一篇 2021年8月26日
下一篇 2021年8月26日

相关推荐

发表回复

登录后才能评论