近日,谷歌在2017年12月发布的安卓安全公告中,修复了由移动安全公司 GuardSquare 的研究团队发现的“Janus”漏洞(CVE-2017-13156),该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序,安卓5.0及以上系统均受到影响,预计影响过亿安卓手机用户。
近日,谷歌在2017年12月发布的安卓安全公告中,修复了由移动安全公司 GuardSquare 的研究团队发现的“Janus”漏洞(CVE-2017-13156),该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序,安卓5.0及以上系统均受到影响,预计影响过亿安卓手机用户。
据钱盾反诈实验室安全专家魏峰(化名)分析指出,“Janus”漏洞是基于JAR签名的方案(signature scheme V1),攻击者可以将一个恶意DEX与源APK进行拼接,从而不影响安装时系统对APK文件的签名校验。也就是说,该漏洞会导致黑客攻击者可以对任意应用进行修改、伪装,最终通过“升级”方式将恶意代码植入用户设备。
为此,钱盾反诈实验室提醒广大安卓手机用户:
1. 在手机厂商推送升级补丁前,尽量不要安装或者升级应用;
2. 如果一定要安装或升级,请确保在可信网络环境下到Google Play商店或应用官方网站下载和安装;
3. 不要点击任何来源不明链接、弹窗等进行应用升级;
4. 安装钱盾App定期对手机进行安全扫描。
网友评论