安卓年度大洞现身:能让恶意代码进入已签名应用

安卓年度大洞现身:能让恶意代码进入已签名应用2017年12月发布的安卓安全公告中包含一个漏洞修复程序。该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序。

大家好,欢迎来到IT知识分享网。安卓年度大洞现身:能让恶意代码进入已签名应用

雷锋网消息,据外媒 BleepingComputer 美国时间12月9日报道,谷歌在 2017年12月发布的安卓安全公告中包含一个漏洞修复程序,该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序。

这个名为 Janus 的漏洞(CVE-2017-13156)由移动安全公司 GuardSquare 的研究团队发现,该漏洞存在与安卓操作系统用于读取应用程序签名的机制中,会允许恶意应用在不影响应用签名的情况下,向安卓应用的 APK 或 DEX 格式中添加代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。

研究人员表示,安卓操作系统在各个位置少量检查字节,以验证文件的完整性。对于 APK 和 DEX 文件,这些字节的位置是不同的,研究人员发现他们可以在 APK 中注入一个 DEX 文件,而安卓操作系统仍会认为它正在读取原始的 APK 文件,因为 DEX 在插入过程不会改变安卓检查完整性的字节,而且文件的签名也不会改变。

Janus 攻击的唯一不足之处在于,攻击者必须引诱用户下载第三方应用商店中的的应用。研究人员还称,Janus 漏洞只影响使用应用程序签名方案v1,使用签名方案v2签署的应用不受影响。另外,Janus 仅影响运行 Android 5.0及更高版本的设备。

不过,雷锋网了解到,国内有相关安全研究员将其称呼为“生态级别的安卓签名欺骗漏洞”,并认为这是安全年度大洞,各厂商有得忙了。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/60323.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信