美國時間12月9日,Google披露了一個名爲“Janus”安卓漏洞。該漏洞可以讓攻擊者繞過安卓簽名機制,從而讓攻擊者對App進行篡改,安卓5.0到8.0等個版本系統均受影響。
頂象安全專家提醒廣大安卓用戶,儘快升級到最新版安卓系統,併到App官方網站下載或更新App。同時,建議開發者將App APK(安裝包)升級爲V2簽名機制,或者爲App配置上頂象技術的安全SDK,以防範該漏洞帶來的威脅。
這是一個“核彈”級的安全漏洞
“Janus”漏洞是Google在12月發佈的安卓系統的安全公告中披露的,由移動安全公司GuardSquare 的研究團隊發現,漏洞編號:CVE-2017-13156。
該漏洞的是基於安卓jarsigner機制建立起來的簽名和校驗機制signature scheme V1。簽名和校驗是安卓系統的關鍵機制,用於確保App不被他人修改、僞造和篡改。而“Janus”漏洞卻可以讓攻擊者繞過安卓的簽名機制,導致攻擊者可以對任何App進行篡改。
一旦攻擊者將植入惡意代碼的仿冒的App投放到安卓商店等第三方應用市場,就可替代原有的App,進行公開下載、更新。網友安裝這些仿冒App後,不僅會泄露個人賬號、密碼、照片、文件等隱私信息,手機更可能被植入木馬病毒,進而或導致手機被ROOT,甚至被遠程操控。
由於安卓系統的其他安全機制都是建立在簽名和校驗基礎之上,“Janus”漏洞可以說是突破了安卓整個安全機制,導致安卓整個安全體系的淪陷。因此,該漏洞也被國內安全研究者定位“核彈”級別。
不過,“Janus”漏洞只針對於安卓5.0-8.0系統下、基於signature scheme V1簽名機制的App,使用了Siginature scheme V2簽名機制的App不受影響。此外,Google最新版的安卓系統也已經修復了該漏洞。
頂象技術緊急發佈App防護方案
頂象技術安全專家泮曉波建議廣大安卓用戶:
1、儘快升級到最新版安卓系統;
2、儘量到官方網站更新、下載App,短期內不用使用第三方安卓應用市場更新或下載App。
針對廣大安卓開發者,泮曉波建議:
1、將App APK升級到最新的Signature scheme V2簽名機制;
2、開發者及時校驗App APK文件的開始字節,以確保App未被篡改;
3、使用頂象技術提供的安全SDK。
針對“janus”漏洞的由來、影響和解決方案,頂象技術將做詳細技術分析。
頂象技術是互聯網業務安全的引導者,致力於打造零風險的數字世界,成立於2017年4月,紅杉資本中國基金成員企業。頂象技術擁有領先的風控技術和智能終端安全技術,其首創的“共享安全”理念已成爲新一代安全產品的標準架構。通過全景式業務安全風控體系、無感驗證、虛機源碼保護、安全SDK等方案和產品,賦予電商、金融、IoT、航空、遊戲、社交等企業提供BAT級的業務安全能力,讓平臺和用戶免受薅羊毛、交易欺詐、賬號盜用、內容被惡意抓取、系統和App遭破解等風險威脅。
*更多黑灰產技術乾貨及案例分享,請關注頂象官方博客:https://www.dingxiang-inc.com/blog