安卓系统年度大漏洞曝光,每日上千万的活跃安卓应用存在被利用可能,上亿用户都在受影响之列。12月4号,Google通过其官方网站通告了高危漏洞CVE-2017-13156(发现厂商命名为Janus),该漏洞可以让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码,目前安卓5.0—8.0等个版本系统均受影响。
据了解,该漏洞存在于Android系统用于读取应用程序签名的机制中,会在不影响应用签名的情况下向正常的Android APK或 DEX格式中添加恶意代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。
而该漏洞产生的根源在于:一个文件可以同时是APK文件和DEX文件。腾讯安全联合实验室反诈骗实验室负责人李旭阳指出,攻击者可以利用该漏洞,将一个恶意的DEX文件与原始APK文件进行拼接,由于Android系统的V1签名方案在验证签名时舍弃掉了APK文件前面嵌入的这部分内容,从而不影响APK文件的签名Android运行时将该植入恶意DEX文件的APK文件看作是之前应用的合法升级版本并允许这种安装,从而执行恶意DEX代码。
(Janus漏洞原理)
李旭阳强调,如果被嵌入恶意DEX代码的应用包含高权限如系统应用,那么该恶意应用可继承其高权限,访问系统的敏感信息,甚至完全接管系统。
自Android系统问世以来,就要求开发者对应用进行签名。在应用进行更新时,只有更新包的签名与现有的app的签名一致的情况下,Android运行时才允许更新包安装到系统。若app被恶意的攻击者修改,系统会拒绝安装此更新。这样可以保证每次的更新一定来自原始的开发者。
本次曝光的漏洞涉及应用的开发层面,一旦被不法分子利用,影响用户量级将过亿。行业内有安全专家更是将其称呼为“生态级别的安卓签名欺骗漏洞”,并认为这是安全年度大洞。
腾讯安全联合实验室反诈骗实验室建议广大用户安装并使用手机管家等安全软件,同时不要安装不明来源的应用;对于APP应用厂商而言,应使用signature scheme v2重新签名相关应用,并使用自带代码防篡改机制的代码混淆工具,可以缓解该漏洞影响,除此之外,对所有更新包除了进行签名校验外,还需进行其它逻辑校验,如(升级包字节大小校验或升级包md5校验)。
目前,腾讯安全联合实验室反诈骗实验室已经分析并跟进Janus漏洞,病毒检测引擎已经支持Janus (CVE-2017-13156)漏洞利用的检测;手机厂商、应用分发市场、浏览器等可以通过接入腾讯反诈骗实验室提供的样本检测能力来检测恶意的病毒样本。腾讯安全反诈骗实验室后续将持续关注黑产攻击者对该漏洞的利用情况,并及时同步最新进展给合作伙伴。