安卓超级bug现身：能让恶意代码进入已签名应用

据外媒 BleepingComputer 美国时间12月9日报道，谷歌在 2017年12月发布的安卓安全公告中包含一个漏洞修复程序，该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序。

这个名为 Janus 的漏洞（CVE-2017-13156）由移动安全公司 GuardSquare 的研究团队发现，该漏洞存在与安卓操作系统用于读取应用程序签名的机制中，会允许恶意应用在不影响应用签名的情况下，向安卓应用的 APK 或 DEX 格式中添加代码。如果有人想用恶意指令打包成一款应用，安卓系统仍会将其视为可信任应用。

研究人员表示，安卓操作系统在各个位置少量检查字节，以验证文件的完整性。对于 APK 和 DEX 文件，这些字节的位置是不同的，研究人员发现他们可以在 APK 中注入一个 DEX 文件，而安卓操作系统仍会认为它正在读取原始的 APK 文件，因为 DEX 在插入过程不会改变安卓检查完整性的字节，而且文件的签名也不会改变。

Janus 攻击的唯一不足之处在于，攻击者必须引诱用户下载第三方应用商店中的的应用。研究人员还称，Janus 漏洞只影响使用应用程序签名方案v1，使用签名方案v2签署的应用不受影响。另外，Janus 仅影响运行 Android 5.0及更高版本的设备。

国内有相关安全研究员将其称呼为“生态级别的安卓签名欺骗漏洞”，并认为这是安全年度大洞，各厂商有得忙了。