当前位置:安全行业动态 → 正文

安卓年度大洞现身:能让恶意代码进入已签名应用

责任编辑:editor006 作者:李勤 |来源:企业网D1Net  2017-12-10 17:30:50 本文摘自:雷锋网

据外媒 BleepingComputer 美国时间12月9日报道,谷歌在 2017年12月发布的安卓安全公告中包含一个漏洞修复程序,该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序。

这个名为 Janus 的漏洞(CVE-2017-13156)由移动安全公司 GuardSquare 的研究团队发现,该漏洞存在与安卓操作系统用于读取应用程序签名的机制中,会允许恶意应用在不影响应用签名的情况下,向安卓应用的 APK 或 DEX 格式中添加代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。

研究人员表示,安卓操作系统在各个位置少量检查字节,以验证文件的完整性。对于 APK 和 DEX 文件,这些字节的位置是不同的,研究人员发现他们可以在 APK 中注入一个 DEX 文件,而安卓操作系统仍会认为它正在读取原始的 APK 文件,因为 DEX 在插入过程不会改变安卓检查完整性的字节,而且文件的签名也不会改变。

Janus 攻击的唯一不足之处在于,攻击者必须引诱用户下载第三方应用商店中的的应用。研究人员还称,Janus 漏洞只影响使用应用程序签名方案v1,使用签名方案v2签署的应用不受影响。另外,Janus 仅影响运行 Android 5.0及更高版本的设备。

不过,雷锋网了解到,国内有相关安全研究员将其称呼为“生态级别的安卓签名欺骗漏洞”,并认为这是安全年度大洞,各厂商有得忙了。

关键字:安卓谷歌

本文摘自:雷锋网

x 安卓年度大洞现身:能让恶意代码进入已签名应用 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

安卓年度大洞现身:能让恶意代码进入已签名应用

责任编辑:editor006 作者:李勤 |来源:企业网D1Net  2017-12-10 17:30:50 本文摘自:雷锋网

据外媒 BleepingComputer 美国时间12月9日报道,谷歌在 2017年12月发布的安卓安全公告中包含一个漏洞修复程序,该漏洞允许恶意攻击者绕过应用程序签名并将恶意代码注入安卓应用程序。

这个名为 Janus 的漏洞(CVE-2017-13156)由移动安全公司 GuardSquare 的研究团队发现,该漏洞存在与安卓操作系统用于读取应用程序签名的机制中,会允许恶意应用在不影响应用签名的情况下,向安卓应用的 APK 或 DEX 格式中添加代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。

研究人员表示,安卓操作系统在各个位置少量检查字节,以验证文件的完整性。对于 APK 和 DEX 文件,这些字节的位置是不同的,研究人员发现他们可以在 APK 中注入一个 DEX 文件,而安卓操作系统仍会认为它正在读取原始的 APK 文件,因为 DEX 在插入过程不会改变安卓检查完整性的字节,而且文件的签名也不会改变。

Janus 攻击的唯一不足之处在于,攻击者必须引诱用户下载第三方应用商店中的的应用。研究人员还称,Janus 漏洞只影响使用应用程序签名方案v1,使用签名方案v2签署的应用不受影响。另外,Janus 仅影响运行 Android 5.0及更高版本的设备。

不过,雷锋网了解到,国内有相关安全研究员将其称呼为“生态级别的安卓签名欺骗漏洞”,并认为这是安全年度大洞,各厂商有得忙了。

关键字:安卓谷歌

本文摘自:雷锋网

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^