安卓惊现年度大漏洞 腾讯安全反诈骗实验室推解决方案

安卓系统年度大漏洞曝光,每日上千万的活跃安卓应用存在被利用可能,上亿用户都在受影响之列。12月4号,Google通过其官方网站通告了高危漏洞CVE-2017-13156(发现厂商命名为Janus),该漏洞可以让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码,目前安卓5.0—8.0等个版本系统均受影响。

据了解,该漏洞存在于Android系统用于读取应用程序签名的机制中,会在不影响应用签名的情况下向正常的Android APK 或 DEX 格式中添加恶意代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。

而该漏洞产生的根源在于:一个文件可以同时是APK文件和DEX文件。腾讯安全联合实验室反诈骗实验室负责人李旭阳指出,攻击者可以利用该漏洞,将一个恶意的DEX文件与原始APK文件进行拼接,由于Android系统的V1签名方案在验证签名时舍弃掉了APK文件前面嵌入的这部分内容,从而不影响APK文件的签名Android运行时将该植入恶意DEX文件的APK文件看作是之前应用的合法升级版本并允许这种安装,从而执行恶意DEX代码。

(Janus漏洞原理)

李旭阳强调,如果被嵌入恶意DEX代码的应用包含高权限如系统应用,那么该恶意应用可继承其高权限,访问系统的敏感信息,甚至完全接管系统。

自Android系统问世以来,就要求开发者对应用进行签名。在应用进行更新时,只有更新包的签名与现有的app的签名一致的情况下,Android运行时才允许更新包安装到系统。若app被恶意的攻击者修改,系统会拒绝安装此更新。这样可以保证每次的更新一定来自原始的开发者。

本次曝光的漏洞涉及应用的开发层面,一旦被不法分子利用,影响用户量级将过亿。行业内有安全专家更是将其称呼为“生态级别的安卓签名欺骗漏洞”,并认为这是安全年度大洞。

腾讯安全联合实验室反诈骗实验室建议广大用户安装并使用手机管家等安全软件,同时不要安装不明来源的应用;对于APP应用厂商而言,应使用signature scheme v2重新签名相关应用,并使用自带代码防篡改机制的代码混淆工具,可以缓解该漏洞影响,除此之外,对所有更新包除了进行签名校验外,还需进行其它逻辑校验,如(升级包字节大小校验或升级包md5校验)。

目前,腾讯安全联合实验室反诈骗实验室已经分析并跟进Janus漏洞,病毒检测引擎已经支持Janus (CVE-2017-13156)漏洞利用的检测;手机厂商、应用分发市场、浏览器等可以通过接入腾讯反诈骗实验室提供的样本检测能力来检测恶意的病毒样本。腾讯安全反诈骗实验室后续将持续关注黑产攻击者对该漏洞的利用情况,并及时同步最新进展给合作伙伴。


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-12-12
安卓惊现年度大漏洞 腾讯安全反诈骗实验室推解决方案
安卓系统年度大漏洞曝光,每日上千万的活跃安卓应用存在被利用可能,上亿用户都在受影响之列。12月4号,Google通过其官方网站通告了高危漏洞CVE-2017-13156(发现厂商命名为Janus),该漏洞可以让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码,目前安卓5 0—8 0等个版本

长按扫码 阅读全文

Baidu
map