安卓系统年度大漏洞曝光,每日上千万的活跃安卓应用存在被利用可能,上亿用户都在受影响之列。12月4号,Google通过其官方网站通告了高危漏洞CVE-2017-13156(发现厂商命名为Janus),该漏洞可以让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码,目前安卓5.0—8.0等个版本系统均受影响。
据了解,该漏洞存在于Android系统用于读取应用程序签名的机制中,会在不影响应用签名的情况下向正常的Android APK 或 DEX 格式中添加恶意代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。
而该漏洞产生的根源在于:一个文件可以同时是APK文件和DEX文件。腾讯安全联合实验室反诈骗实验室负责人李旭阳指出,攻击者可以利用该漏洞,将一个恶意的DEX文件与原始APK文件进行拼接,由于Android系统的V1签名方案在验证签名时舍弃掉了APK文件前面嵌入的这部分内容,从而不影响APK文件的签名Android运行时将该植入恶意DEX文件的APK文件看作是之前应用的合法升级版本并允许这种安装,从而执行恶意DEX代码。
(Janus漏洞原理)
李旭阳强调,如果被嵌入恶意DEX代码的应用包含高权限如系统应用,那么该恶意应用可继承其高权限,访问系统的敏感信息,甚至完全接管系统。
自Android系统问世以来,就要求开发者对应用进行签名。在应用进行更新时,只有更新包的签名与现有的app的签名一致的情况下,Android运行时才允许更新包安装到系统。若app被恶意的攻击者修改,系统会拒绝安装此更新。这样可以保证每次的更新一定来自原始的开发者。
本次曝光的漏洞涉及应用的开发层面,一旦被不法分子利用,影响用户量级将过亿。行业内有安全专家更是将其称呼为“生态级别的安卓签名欺骗漏洞”,并认为这是安全年度大洞。
腾讯安全联合实验室反诈骗实验室建议广大用户安装并使用手机管家等安全软件,同时不要安装不明来源的应用;对于APP应用厂商而言,应使用signature scheme v2重新签名相关应用,并使用自带代码防篡改机制的代码混淆工具,可以缓解该漏洞影响,除此之外,对所有更新包除了进行签名校验外,还需进行其它逻辑校验,如(升级包字节大小校验或升级包md5校验)。
目前,腾讯安全联合实验室反诈骗实验室已经分析并跟进Janus漏洞,病毒检测引擎已经支持Janus (CVE-2017-13156)漏洞利用的检测;手机厂商、应用分发市场、浏览器等可以通过接入腾讯反诈骗实验室提供的样本检测能力来检测恶意的病毒样本。腾讯安全反诈骗实验室后续将持续关注黑产攻击者对该漏洞的利用情况,并及时同步最新进展给合作伙伴。
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
近日,绝味鸭脖以 "19 岁,绝美青春 " 为周年庆主题,推出了全新 " 爆耐撕绝绝脂大刀肉片 ",并策划一系列精彩活动,旨在为消费者带来前所未有的味蕾惊喜和快乐体验。
近日,中国家电及消费电子博览会(AWE 2024)隆重开幕。全球领先的智能终端企业TCL实业携多款创新技术和新品亮相,以敢为精神勇闯技术无人区,斩获四项AWE 2024艾普兰大奖。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
由世界人工智能大会组委会、上海市经信委、徐汇区政府、临港新片区管委会共同指导,由上海市人工智能行业协会联合上海人工智能实验室、上海临港经济发展(集团)有限公司、开放原子开源基金会主办的“2024全球开发者先锋大会”,将于2024年3月23日至24日举办。