据外媒报道，谷歌上周修补了四十多个安全漏洞，其中一个高危漏洞允许黑客绕过签名验证机制向Android应用程序注入恶意代码，以便恶意版本能够覆盖智能手机上的合法应用程序。目前，有数以百万计的Android设备面临着漏洞造成的严重风险。

这个被称为Janus 的漏洞由 GuardSquare 公司首席技术官Eric Lafortune在今年夏季发现，他于7月份向谷歌报告了这个漏洞 ( cve -2017- 13156 )，谷歌12月初发布的Android安全公告中显示，该漏洞在上周四已被修补。

研究显示，这个漏洞驻留在 Android 系统为一些应用程序处理APK安装的方式中，使得开发者可在APK文件中添加额外的字节代码而不影响应用程序的签名。通过研究发现，由于缺少文件完整性检查，这种添加额外字节的代码的情况将允许黑客以DEX格式编译的恶意代码添加到包含具备有效签名的合法APK中，以便在目标设备上执行恶意代码而不被发现，便于欺骗程序安装过程。换句话说，黑客并不需要修改合法应用程序本身的代码(使签名无效)，而是利用这个漏洞向原始应用程序添加一些额外的恶意代码行即可。

当用户下载应用程序的更新时，Android 会在运行时将其签名与原始版本的签名进行比较。如果签名匹配，Android系统将继续安装更新程序，更新后的应用程序继承原始应用程序的权限。因此，一旦安装了受感染的应用程序，黑客将拥有与原应用程序相同的系统权限。这意味着黑客可能窃取银行证书、读取消息或进一步感染目标设备。

黑客可以使用各种媒介（如垃圾邮件、提供虚假应用程序和更新的第三方应用程序商店、社会工程，甚至是中间人攻击）传播包含恶意代码的“合法的应用程序”。GuardSquare公司表示，从银行应用程序、游戏到Google地图等都可能成为 Janus 漏洞利用者的目标。此外，从第三方应用程序商店下载的 Android APKs，比如社交媒体或者系统应用程序等也可能成为攻击目标。

虽然目前谷歌已经修补了Janus漏洞，但在设备制造商（OEM）为其发布自定义更新之前，大多数Android用户的系统漏洞都将无法获得修复，显然大量智能手机用户还是很容易受到黑客的攻击。

GuardSquare称，受影响的是运行比Nougat（7.0）更早的Android操作系统版本以及任何支持APK签名方案v1的Android设备。由于此漏洞不会影响支持APK签名方案版本2的Android 7（ Nougat ）和最新版本，因此强烈建议运行较旧Android版本的用户升级其设备操作系统。但如果你的设备制造商既没有提供安全补丁，也没有最新的Android版本，那么你就应该时刻保持警惕，尽量不要在谷歌的Play Store之外安装应用程序和更新，以最大限度地降低被黑客攻击的风险。

此外，GuardSquare 还建议，为了安全起见 Android 开发人员需要应用签名方案 v2，以确保他们的应用程序不能被篡改。