高危Android漏洞可签名检测机制 注入恶意软件应用程序

2017年12月Android发布了其新的安全公告，而据外媒报道，其中提到了一个漏洞，该漏洞可能允许攻击者修改Android应用程序代码，而不影响他们的签名验证证书，通过绕过应用程序签名验证并将恶意代码注入Android应用程序，让数以百万计的Android设备面临严重的安全风险。

据悉，此漏洞由移动安全公司GuardSquare的研究安全研究人员发现，研究人员表示Android系统原本的设置会在各位置检查字节，以验证文件的完整性。而对于APK和DEX文件来说它们有着各自不同的位置，经过实验研究人员发现，当他们用Android设备处理APK安装一些应用程序时，可以在APK中添加额外DEX文件，却不影响应Android系统读取原先的APK文件及应用程序的签名。

研究人员把这个漏洞称为Janus，该漏洞由于缺乏文件完整性检查，可能允许攻击者预先隐藏的恶意代码编译成一个APK文件包含合法的代码与有效签名，最终欺骗程序安装过程执行代码在目标设备上而不被发现。令人担忧的是，大多数的Android用户不会收到这份安全报告或对此事毫不知情，直到他们的设备制造商发布补丁更新。

不过大家不必过于担心，Janus还是存在弱点的，它不可能通过在官方应用商店中推送恶意更新，此外该漏洞并不影响Android 7.0牛轧糖和支持的APK签名方案版本2的系统，所以小编提醒安卓用户最好禁止从第三方应用商店下载安装更新应用，务必及时更新Android较高版本的本操作系统，谨防类似安全隐患的存在。

   来源：赛迪网