Android百万设备面临安全风险:高危漏洞注入恶意代码,将合法App取而代之

近日,国外安全公司报告称谷歌在上周紧急修复了四十多个安全漏洞,其中有一个高危漏洞一旦遭到利用,攻击者就能通过该漏洞绕过签名验证机制,向Android应用程序中注入恶意代码,如此一来黑客就可以将恶意版本覆盖手机上的合法程序。目前数百万台Android设备面临严重安全风险。

据了解,该漏洞被研究人员称之为Janus,它在今年夏季首次被发现,7月份谷歌就收到有关该漏洞的相关报告。谷歌方面到12月初才发布安全公告表示该漏洞已被修复。Janus漏洞处于Android系统中专门为应用程序处理APK安装方式的地方,这使得开发者能在APK文件中添加额外的字节代码而不影响应用的签名使用情况。但由于该机制缺少我呢间完整性检查,因此这种添加额外字节代码的方式就遭到了黑客的利用。

黑客利用这种方式以DEX格式编译的恶意代码添加到包含有效签名的合法APK当中,随后在目标这悲伤执行恶意代码,替换原有的正常APK程序。简而言之就是黑客无需修改合法应用本身的代码(因为这样会导致签名无效),只利用该漏洞向原始程序中添加额外的恶意代码即可。

当受害用户下载应用程序更新时,Android系统会在运行时将签名与原始签名比较,因为该漏洞并不涉及到修改原始签名,因此Android系统会继续安全更新程序并继承原始应用的权限,一旦系统安装了添加恶意代码的APK后,黑客就能借此窃取例如银行证书和读取消息等手段进一步感染设备,这样一来中招用户将无法避免的遭受损失。

缓解措施:

1、等待正式的修复补丁,在此期间尽量不要在小型下载站下载软件等;

2、Android开发人员应该应用签名方案V2,以此确保程序不被修改;

3、第三方应用程序商店或社交媒体等处下载软件容易遭到黑客攻击,应杜绝此类行为;

4、建议旧版本Android系统用户尽快更新系统版本。

转自红黑联盟

-end-

信诺瑞得

为数据中心保驾护航

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171213B0DH0200?refer=cp_1026

扫码关注云+社区