美国时间12月9日,Google披露了一个名为“Janus”安卓漏洞。该漏洞可以让攻击者绕过安卓签名机制,从而让攻击者对App进行篡改,安卓5.0到8.0等个版本系统均受影响。
美国时间12月9日,Google披露了一个名为“Janus”安卓漏洞。该漏洞可以让攻击者绕过安卓签名机制,从而让攻击者对App进行篡改,安卓5.0到8.0等个版本系统均受影响。
顶象安全专家提醒广大安卓用户,尽快升级到最新版安卓系统,并到App官方网站下载或更新App。同时,建议开发者将App安装包升级为V2签名机制,或者为App配置上顶象技术的安全SDK,以防范该漏洞带来的威胁。
这是一个“核弹”级的安全漏洞
“Janus”漏洞是Google在12月发布的安卓系统的安全公告中披露的,由移动安全公司GuardSquare 的研究团队发现,漏洞编号:CVE-2017-13156。
该漏洞的是基于安卓jarsigner机制建立起来的签名和校验机制signature scheme V1。签名和校验是安卓系统的关键机制,用于确保App不被他人修改、伪造和篡改。而“Janus”漏洞却可以让攻击者绕过安卓的签名机制,导致攻击者可以对任何App进行篡改。
一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场,就可替代正版的App公开下载、更新。网友安装这些仿冒App后,不仅会泄露个人账号、密码、照片、文件等隐私信息,手机更可能被植入木马病毒,进而或导致手机被ROOT,甚至被远程操控。
由于安卓系统的其他安全机制都是建立在签名和校验基础之上,“Janus”漏洞可以说是突破了安卓整个安全机制,导致安卓整个安全体系的沦陷。因此,该漏洞也被国内安全研究者定位“核弹”级别。
不过,“Janus”漏洞只针对于安卓5.0-8.0系统下,基于signature scheme V1签名机制的App,使用了Siginature scheme V2签名机制的App不受影响。Google最新版的安卓系统也已经修复了该漏洞。
顶象技术发布紧急防护方案
顶象技术安全专家泮晓波建议广大安卓用户:
1、尽快升级到最新版安卓系统;
2、尽量到官方网站更新、下载App,短期内不用使用第三方安卓应用市场更新或下载App;
针对广大安卓开发者,泮晓波建议:
1、将App APK(安装包)升级到最新的Signature scheme V2签名机制;
2、基于“janus”漏洞的形成原因,开发者需要校验App APK文件的开始字节,以确保App是未被篡改;
3、使用顶象技术提供的安全SDK。
针对“janus”漏洞的由来、影响和解决方案,顶象技术明日将做详细技术分析。
顶象技术是互联网业务安全的引导者,致力于打造零风险的数字世界,成立于2017年4月,红杉资本中国基金成员企业。顶象技术拥有领先的风控技术和智能终端安全技术,其首创的“共享安全”理念已成为新一代安全产品的标准架构。通过全景式业务安全风控体系、无感验证、虚机源码保护、安全SDK等方案和产品,赋予电商、金融、IoT、航空、游戏、社交等企业提供BAT级的业务安全能力,让平台和用户免受薅羊毛、交易欺诈、账号盗用、内容被恶意抓取、系统和App遭破解等风险威胁。
网友评论