12月4日,Google 通過其官方網站通告了Janus高危漏洞(CVE-2017-13156),該漏洞可以讓攻擊者無視Android系統的簽名機制signature scheme V1簽名機制,在不修改簽名的情況下即可在官方應用中植入惡意dex代碼。由于Android系統的其他安全機制也是建立在簽名和校驗基礎之上,該漏洞相當于繞過了Android系統的整個安全機制。
根據分析顯示,Android5.0到8.0系統以及采用Android APK Signature Scheme v1對應用進行簽名的APK應用均受到影響。目前,騰訊手機管家聯合騰訊反詐騙實驗室對Janus漏洞進行分析并跟進,經過更新已實現對Janus漏洞的檢測,將持續關注黑產攻擊者對該漏洞的利用情況,并及時同步最新進展給合作伙伴。
(圖:Google官網通告Janus高危漏洞,騰訊手機管家緊急上線檢測引擎)
Janus高危漏洞存在于Android系統用于讀取應用程序簽名的機制中,攻擊者利用此漏洞可將惡意代碼植入第三方手機應用,任意篡改官方應用。由于Janus漏洞涉及應用的開發層面,一旦被不法分子利用,影響用戶量級將過億。行業內有安全專家更是將其稱呼為“生態級別的安卓簽名欺騙漏洞”,并認為這是安全年度大洞。
同時,Janus高危漏洞對手機用戶來說,則意味著信息泄露或被遠程操控等風險。騰訊手機管家安全專家楊啟波指出,一款應用包含高權限如系統應用,一旦被植入惡意代碼,則可能泄露用戶手機中的隱私信息,包括個人賬號、密碼、照片、文件等信息,甚至Root手機實現對手機的遠程操控。
(圖:Janus漏洞原理:攻擊者不修改簽名下植入惡意代碼篡改應用)
如此一來,廣大手機用戶和Android應用廠商應該如何應對?首先,對手機用戶來說,騰訊手機管家提醒用戶應避免安裝更新未知軟件,選擇手機應用官網、騰訊應用寶、騰訊手機管家“軟件管理”等正規渠道下載應用;同時下載安裝騰訊手機管家等專業的手機安全軟件,有效識別并攔截查殺手機病毒。
其次,對Android應用開發廠商來說,可通過使用尚未受到影響的signature scheme v2重新簽名相關應用,或自帶代碼防篡改機制的代碼混淆工具緩解該漏洞影響;也可接入騰訊反詐騙實驗室的APK云安全檢測SDK攔截攻擊者惡意提交包含漏洞的應用,使用騰訊御安全提供的安全加密SDK加密軟件。除了對所有更新包進行必要的簽名校驗外,廠商還需進行其它邏輯校驗,如升級包字節大小校驗或升級包md5校驗等。
隨著移動互聯網時代的到來,手機安全一直是用戶關注的焦點。騰訊手機管家作為移動端的第一道安全防線,依托騰訊安全聯合實驗室移動安全實驗室和反詐騙實驗室的前沿技術,通過自研殺毒引擎,有效保障了用戶的手機安全和財產安全,讓用戶的移動生活更安全。
