封堵Janus漏洞！Testin安全产品今冬上线

一个名为“Janus”（编号：CVE-2017-13156）的Android系统高危漏洞于今年12月4日通过Google官网披露于世，该漏洞或致使上千万安卓应用存在安全风险，影响用户数以亿计，而Testin于今冬推出的安全测试新产品，可有效化解应用的安全危机。

“Janus”是什么？

据悉，Janus漏洞存在于Android系统用于读取应用程序签名的机制中，会在不影响应用签名的情况下，向正常的Android APK或DEX文件中植入恶意代码并进行篡改，这相当于绕过了安卓系统的整个安全机制。

——影响的范围

1. 安卓5.0-8.0的各个版本系统；

2. 使用安卓Signaturescheme V1签名的App APK文件。

——利用过程

1、攻击者可以向APK文件的开始位置放置一个攻击的DEX文件A；

2. 安卓系统在安装时用ZIP的读取机制从末尾开始进行文件的读取，读取到了原始的APK内容，并且以V1的方式进行校验，认为这个文件是正常的，没有篡改，APK安装成功；

3. 在运行时，Android的ART虚拟机从文件头开始读取，发现是一个DEX文件，直接执行，攻击文件A被最终执行。

“Janus”有什么危害？

一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场，就可替代原有的App做下载、更新。网友安装这些仿冒App后，不仅会泄露个人账号、密码、照片、文件等隐私信息，手机更可能被植入木马病毒，进而或导致手机被ROOT，甚至被远程操控。

漏洞频发，移动应用安全形势严峻

除了此次Janus漏洞之外，近日，苹果iOS 系统也漏洞频发，甚至被苹果高管称为“糟糕的一周”。而谷歌引以为傲的深度学习TensorFlow也遭遇安全质疑，这一系列事件使得应用安全问题被推上风口浪尖。这一系列现象说明，系统漏洞检测领域出现了一些新变化、新态势。这既是传统安全厂商和实验室的一次挑战，也为新兴安全企业带来了机遇。

根据调研显示，在18个行业的 Top 10 应用中， 98% 都存在漏洞，平均每个应用有82个漏洞。其中，高危漏洞占比最高的依次是办公类、工具类、游戏类和金融类。这些应用安全漏洞给黑客攻击和恶意程序提供了可乘之机，给用户的隐私与财产安全、企业利益带来了巨大威胁。应对漏洞的有效方式，就是进行应用安全扫描，为APP进行全方位健康体检，防范于未然。

应用安全扫描的关键，在于自动化测试技术的成熟度，以及安全检测点的覆盖度。而来自IDC的数据表明，市场上常见的MAST（移动应用安全测试）工具，只能发现 67%的漏洞。这意味着360、腾讯等传统巨头的“安全方法论”也无法实现高概率排险。在扫描手段越来越同质化的当下，谁自动化测试技术越强、检测点越多，谁就有机会独占鳌头。

全面封堵“Janus”，Testn安全为应用保驾护航

在当前复杂的移动应用安全环境下，有一家“安全测试新贵”强势崛起——那就是Testin安全。针对行业内目前亟待解决的问题，Testin安全基于独创安全核心技术，于今冬推出应用安全扫描增强版产品，可有效检测及应对Janus等危机状况。

Testin安全团队针对传统测试团队安全检测点数量过少的问题，为应用安全扫描提供40个检测点，大大拓展了检测范围；在覆盖面上，涵盖了配置安全、代码安全、组件安全、数据安全、加密安全、通信安全等多个维度。新产品特别针对Android应用，提供静态检测、动态检测和恶意分析，准确发现并评估应用的安全漏洞与风险，使包括Janus在内的应用安全漏洞“无处遁形”。

除此之外，Testin安全测试还提供代码审计与渗透测试服务。其中，代码审计（Code Audit ） 是由专业的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查，以充分挖掘安全缺陷，并指导开发人员正确修复缺陷。而渗透测试堪称应用安全扫描的进阶版本，此服务将模拟黑客行为深度挖掘APP中的安全隐患，帮助企业发现强逻辑性、深层次的漏洞。Testin安全将白盒测试和黑盒测试手段相结合，立体高效的保障了应用安全。

Testin首席安全顾问何迪生先生曾任微软大中华区信息安全总监、TPCU（中国香港警署防犯罪技术部）防止犯罪技术安全咨询顾问，具备扎实的安全技术和一手的应对经验。他表示，若要实现安全测试行业的“破局”，进行对包括Janus在内的应用安全漏洞的全面“围剿”，必须建立起专业，立体，完善的测试网络，对移动应用进行全方位保驾护航。而Testin安全依托1.8亿次的专业测试经验，为漏洞扫描的全面性与权威性打好了坚实的基础。

在移动互联网时代，数据已经成为企业发展的核心命脉。许多应用并没有经过专业的安全测试就直接推向终端用户，它们携带着各类安全漏洞直接暴露在公众面前，而其中一部分直指软件所承载的核心敏感信息或业务逻辑，一旦被恶意利用，后果将不堪设想。Testin安全团队作为一支走在行业前沿的领军队伍，致力于为企业提供最专业的最优质的安全服务。