当前位置 : 首页 > 资讯教程> Android系统新漏洞:恶意软件绕过应用程序签名

Android系统新漏洞:恶意软件绕过应用程序签名

2017-12-12 13:19      点击:72

Android系统新漏洞:恶意软件绕过应用程序签名
    作为最多人使用的手机系统之一,Android系统的安全和隐私问题是大家关注的重点,而据外媒最新消息显示,Google公司在今年12月份的Android系统安全公告中公布了一个新的安全漏洞,该漏洞不仅允许恶意攻击者绕过应用程序的签名,还可以将恶意代码植入Android应用程序。
 报道称,移动安全公司GuardSquare的研究团队发现,该漏洞驻留在Android系统用于读取应用程序签名的机制中。
 GuardSquare的研究人员表示,Android系统会在APK或DEX文件的各个位置少量检查字节,以验证文件的完整性,对于APK和DEX文件来讲,这些字节的位置是不同的。研究人员发现,他们可以在APK中注入一个DEX文件,而Android系统仍会认为它正在读取的是原始的APK文件。
 之所以会发生这种情况,是因为DEX的插入过程不过改变Android系统将要检查的用于验证文件完整性的字节,而且文件的签名也不会改变。
 在现实中,这个漏洞(GuardSquare将其命名为Janus)将允许攻击者在有效的Android应用程序更新(APK文件)中注入恶意的DEX文件。
 此外,由于更新后的应用程序继承了原始的应用程序的权限,因此,通过这种方法侵入你的Android手机的恶意程序可以冒充合法的应用程序轻松地获得非常敏感的访问权限。
 Janus攻击的唯一不足之处在于,它不能通过由Google Play商店分发的更新感染到你的Android设备,要让用户中招,恶意攻击者只能诱骗用户访问第三方应用商店,并诱使用户安装遭受过感染的应用程序的更新以代替合法的应用程序。
 GuardSquare表示,Janus漏洞只影响采用V1签名方案的应用程序,采用V2签名方案的应用程序不受影响。另外,Janus漏洞仅影响运行Android 5.0及更高版本Android系统的设备。
 据了解,那些受官方支持的Nexus和Pixel设备的用户,很快就可以收到修复该漏洞的安全更新补丁了。至于由OEM制造的Android系统将在何时修复这一问题,小伙伴就只能耐心等待OEM的计划和安排了。
 
分享到:
本文由乡巴佬软件中心编辑发表。转载此文章须经乡巴佬软件同意,并请附上出处(乡巴佬软件)及本页链接。
原文链接:http://www.xiangbalaoxt.com

小马软件使用教程

小马系统三步骤教程