12 月 4 日,Google 通过其官方网站通告了Janus高危漏洞(CVE-2017-13156),该漏洞可以让攻击者无视Android系统的签名机制signature scheme V1 签名机制,在不修改签名的情况下即可在官方应用中植入恶意dex代码。由于Android系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了Android系统的整个安全机制。
根据分析显示,Android5. 0 到8. 0 系统以及采用Android APK Signature Scheme v1 对应用进行签名的APK应用均受到影响。目前,腾讯手机管家联合腾讯反诈骗实验室对Janus漏洞进行分析并跟进,经过更新已实现对Janus漏洞的检测,将持续关注黑产攻击者对该漏洞的利用情况,并及时同步最新进展给合作伙伴。
(图:Google官网通告Janus高危漏洞,腾讯手机管家紧急上线检测引擎)
Janus高危漏洞存在于Android系统用于读取应用程序签名的机制中,攻击者利用此漏洞可将恶意代码植入第三方手机应用,任意篡改官方应用。由于Janus漏洞涉及应用的开发层面,一旦被不法分子利用,影响用户量级将过亿。行业内有安全专家更是将其称呼为“生态级别的安卓签名欺骗漏洞”,并认为这是安全年度大洞。
同时,Janus高危漏洞对手机用户来说,则意味着信息泄露或被远程操控等风险。腾讯手机管家安全专家杨启波指出,一款应用包含高权限如系统应用,一旦被植入恶意代码,则可能泄露用户手机中的隐私信息,包括个人账号、密码、照片、文件等信息,甚至Root手机实现对手机的远程操控。
(图:Janus漏洞原理:攻击者不修改签名下植入恶意代码篡改应用)
如此一来,广大手机用户和Android应用厂商应该如何应对?首先,对手机用户来说,腾讯手机管家提醒用户应避免安装更新未知软件,选择手机应用官网、腾讯应用宝、腾讯手机管家“软件管理”等正规渠道下载应用;同时下载安装腾讯手机管家等专业的手机安全软件,有效识别并拦截查杀手机病毒。
其次,对Android应用开发厂商来说,可通过使用尚未受到影响的signature scheme v2 重新签名相关应用,或自带代码防篡改机制的代码混淆工具缓解该漏洞影响;也可接入腾讯反诈骗实验室的APK云安全检测SDK拦截攻击者恶意提交包含漏洞的应用,使用腾讯御安全提供的安全加密SDK加密软件。除了对所有更新包进行必要的签名校验外,厂商还需进行其它逻辑校验,如升级包字节大小校验或升级包md5 校验等。
随着移动互联网时代的到来,手机安全一直是用户关注的焦点。腾讯手机管家作为移动端的第一道安全防线,依托腾讯安全联合实验室移动安全实验室和反诈骗实验室的前沿技术,通过自研杀毒引擎,有效保障了用户的手机安全和财产安全,让用户的移动生活更安全。