Android百万设备面临安全风险：高危漏洞注入恶意代码，将合法App取而代之

近日，国外安全公司报告称谷歌在上周紧急修复了四十多个安全漏洞，其中有一个高危漏洞一旦遭到利用，攻击者就能通过该漏洞绕过签名验证机制，向Android应用程序中注入恶意代码，如此一来黑客就可以将恶意版本覆盖手机上的合法程序。目前数百万台Android设备面临严重安全风险。

据了解，该漏洞被研究人员称之为Janus，它在今年夏季首次被发现，7月份谷歌就收到有关该漏洞的相关报告。谷歌方面到12月初才发布安全公告表示该漏洞已被修复。Janus漏洞处于Android系统中专门为应用程序处理APK安装方式的地方，这使得开发者能在APK文件中添加额外的字节代码而不影响应用的签名使用情况。但由于该机制缺少我呢间完整性检查，因此这种添加额外字节代码的方式就遭到了黑客的利用。

黑客利用这种方式以DEX格式编译的恶意代码添加到包含有效签名的合法APK当中，随后在目标这悲伤执行恶意代码，替换原有的正常APK程序。简而言之就是黑客无需修改合法应用本身的代码(因为这样会导致签名无效)，只利用该漏洞向原始程序中添加额外的恶意代码即可。

当受害用户下载应用程序更新时，Android系统会在运行时将签名与原始签名比较，因为该漏洞并不涉及到修改原始签名，因此Android系统会继续安全更新程序并继承原始应用的权限，一旦系统安装了添加恶意代码的APK后，黑客就能借此窃取例如银行证书和读取消息等手段进一步感染设备，这样一来中招用户将无法避免的遭受损失。

缓解措施：

1、等待正式的修复补丁，在此期间尽量不要在小型下载站下载软件等;

2、Android开发人员应该应用签名方案V2，以此确保程序不被修改;

3、第三方应用程序商店或社交媒体等处下载软件容易遭到黑客攻击，应杜绝此类行为;

4、建议旧版本Android系统用户尽快更新系统版本。

转自红黑联盟

-end-

信诺瑞得

为数据中心保驾护航