“核弹级”Android漏洞Janus，黑客可以任意篡改App

姓名:颜皓 学号:16020140084 电子工程学院

转载自:https://zhuanlan.zhihu.com/p/31893273?edition=yidianzixun&utm_source=yidianzixun&yidian_docid=0HtqOUOr&yidian_s=&yidian_appid=

【嵌牛导读】美国时间12月9日，Google披露了一个名为“Janus”安卓漏洞。该漏洞可以让攻击者绕过安卓签名机制，从而让攻击者对App进行篡改，安卓5.0到8.0等个版本系统均受影响。

【嵌牛鼻子】安卓系统、“Janus”漏洞

【嵌牛提问】“Janus”漏洞对安卓系统的危害有多大？

【嵌牛正文】“Janus”漏洞是Google在12月发布的安卓系统的安全公告中披露的，由移动安全公司GuardSquare 的研究团队发现，漏洞编号：CVE-2017-13156。

图片发自App

该漏洞的是基于安卓jarsigner机制建立起来的签名和校验机制signature scheme V1。签名和校验是安卓系统的关键机制，用于确保App不被他人修改、伪造和篡改。而“Janus”漏洞却可以让攻击者绕过安卓的签名机制，导致攻击者可以对任何App进行篡改。

一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场，就可替代原有的App，进行公开下载、更新。网友安装这些仿冒App后，不仅会泄露个人账号、密码、照片、文件等隐私信息，手机更可能被植入木马病毒，进而或导致手机被ROOT，甚至被远程操控。

由于安卓系统的其他安全机制都是建立在签名和校验基础之上，“Janus”漏洞可以说是突破了安卓整个安全机制，导致安卓整个安全体系的沦陷。因此，该漏洞也被国内安全研究者定位“核弹”级别。

不过，“Janus”漏洞只针对于安卓5.0-8.0系统下、基于signature scheme V1签名机制的App，使用了Siginature scheme V2签名机制的App不受影响。此外，Google最新版的安卓系统也已经修复了该漏洞。

顶象技术紧急发布App防护方案

顶象技术安全专家泮晓波建议广大安卓用户：

1、尽快升级到最新版安卓系统；

2、尽量到官方网站更新、下载App，短期内不用使用第三方安卓应用市场更新或下载App。

针对广大安卓开发者，泮晓波建议：

1、将App APK升级到最新的Signature scheme V2签名机制；

2、开发者及时校验App APK文件的开始字节，以确保App未被篡改;

3、使用顶象技术提供的安全SDK。

图片发自App