高危Android漏洞可簽名檢測機制 注入惡意軟件應用程序

2017年12月Android發布了其新的安全公告，而據外媒報道，其中提到了一個漏洞，該漏洞可能允許攻擊者修改Android應用程序代碼，而不影響他們的簽名驗證證書，通過繞過應用程序簽名驗證并將惡意代碼注入Android應用程序，讓數以百萬計的Android設備面臨嚴重的安全風險。

據悉，此漏洞由移動安全公司GuardSquare的研究安全研究人員發現，研究人員表示Android系統原本的設置會在各位置檢查字節，以驗證文件的完整性。而對于APK和DEX文件來說它們有著各自不同的位置，經過實驗研究人員發現，當他們用Android設備處理APK安裝一些應用程序時，可以在APK中添加額外DEX文件，卻不影響應Android系統讀取原先的APK文件及應用程序的簽名。

研究人員把這個漏洞稱為Janus，該漏洞由于缺乏文件完整性檢查，可能允許攻擊者預先隱藏的惡意代碼編譯成一個APK文件包含合法的代碼與有效簽名，最終欺騙程序安裝過程執行代碼在目標設備上而不被發現。令人擔憂的是，大多數的Android用戶不會收到這份安全報告或對此事毫不知情，直到他們的設備制造商發布補丁更新。

不過大家不必過于擔心，Janus還是存在弱點的，它不可能通過在官方應用商店中推送惡意更新，此外該漏洞并不影響Android 7.0牛軋糖和支持的APK簽名方案版本2的系統，所以小編提醒安卓用戶最好禁止從第三方應用商店下載安裝更新應用，務必及時更新Android較高版本的本操作系統，謹防類似安全隱患的存在。

   來源：賽迪網