近期，安卓用戶在更新各類 APP 時要當心了，你可能遇到山寨的！

昨日（12月10日），雷鋒網曾發(fā)文《安卓年度大洞現(xiàn)身：能讓惡意代碼進入已簽名應用》，其中提到，名為“Janus”的漏洞會允許惡意攻擊者繞過應用程序簽名，并將惡意代碼注入安卓應用程序。

雷鋒網從頂象技術獲悉，由于安卓系統(tǒng)的其他安全機制也是建立在簽名和校驗基礎之上，該漏洞相當于繞過了安卓系統(tǒng)的整個安全機制。一旦攻擊者將植入惡意代碼的仿冒的 App 投放到安卓商店等第三方應用市場，就可替代原有的 App 做下載、更新。

網友安裝這些仿冒 App 后，不僅會泄露個人賬號、密碼、照片、文件等隱私信息，手機更可能被植入木馬病毒，進而或導致手機被 root ，甚至被遠程操控。

分析顯示，安卓 5.0 到 8.0 系統(tǒng)以及基于 signature scheme V1 簽名機制的 App 均受“Janus”漏洞影響；基于signature scheme V2簽名的App則不受影響。

“Janus”漏洞爆發(fā)原因是什么？

為了提升安卓系統(tǒng)的安全性，Google 發(fā)布了新的簽名認證體系 signature scheme V2。由于，signature scheme V2 需要對 App 進行重新發(fā)布，而大量的已經存在的 App APK 無法使用 V2 校驗機制，所以為了保證向前兼容性，V1 的校驗方式的還被保留，這就導致了“Janus”漏洞的出現(xiàn)。

“Janus”漏洞的攻擊原理和利用過程

攻擊原理

1、安卓在 4.4 中引入了新的執(zhí)行虛擬機 ART，這個虛擬機經過重新的設計，實現(xiàn)了大量的優(yōu)化，提高了應用的運行效率。與“Janus”有關的一個技術點是，ART 允許運行一個 raw dex，也就是一個純粹的dex文件，不需要在外面包裝一層zip。

而ART的前任 DALVIK 虛擬機就要求 dex 必須包裝在一個 zip 內部且名字是 classes.dex 才能運行。當然ART也支持運行包裝在ZIP內部的dex文件，要區(qū)別文件是ZIP還是dex，就通過文件頭的magic字段進行判斷：ZIP文件的開頭是‘PK’, 而dex文件的開頭是’dex’。

2、ZIP文件的讀取方式是通過在文件末尾定位 central directory, 然后通過里面的索引定位到各個zip entry，每個entry解壓之后都對應一個文件。

影響范圍

1. 安卓5.0-8.0的各個版本系統(tǒng)；

2. 使用安卓Signaturescheme V1簽名的App APK文件。

利用過程

1、攻擊者可以向 APK文件的開始位置放置一個攻擊的 DEX 文件 A；

2. 安卓系統(tǒng)在安裝時用ZIP的讀取機制從末尾開始進行文件的讀取，讀取到了原始的APK內容，并且以V1的方式進行校驗，認為這個文件是正常的，沒有篡改，APK安裝成功；

3. 在運行時，Android 的 ART 虛擬機從文件頭開始讀取，發(fā)現(xiàn)是一個 DEX 文件，直接執(zhí)行，攻擊文件A被最終執(zhí)行。

帶來的威脅

可以在沒有 apk 所有者的證書的情況下對 apk 進行修改，并且繞過校驗機制安裝在用戶的手機上，造成的可能后果如下：

1. 對存儲在原手機上的數(shù)據(jù)進行讀取，例如金融類APP的銀行密碼、支付密碼、token; 通信類APP的聊天記錄、圖片、通信錄

2. 對用戶的輸入做各種監(jiān)聽、攔截、欺詐，引導用戶輸入密碼，轉賬。

3. 利用這個漏洞可以更新Android的系統(tǒng)APP，從獲得更高的系統(tǒng)權限，甚至root/越獄，為其他攻擊做準備

修復建議 

安卓用戶：

1、盡快升級到最新版安卓系統(tǒng)；

2、盡量到官方網站更新、下載App，短期內不用使用第三方安卓應用市場更新或下載App。

安卓開發(fā)者：

1、將App APK升級到最新的Signature scheme V2簽名機制；

2、開發(fā)者及時校驗App APK文件的開始字節(jié)，以確保App未被篡改;

以上內容來自頂象技術的投稿，雷鋒網編輯整理。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。