“核彈級”Android漏洞Janus，黑客可以任意篡改App

美國時間12月9日，Google披露了一個名為“Janus”安卓漏洞。該漏洞可以讓攻擊者繞過安卓簽名機制，從而讓攻擊者對App進行篡改，安卓5.0到8.0等個版本系統均受影響。

頂象安全專家提醒廣大安卓用戶，儘快升級到最新版安卓系統，併到App官方網站下載或更新App。同時，建議開發者將App APK（安裝包）升級為V2簽名機制，或者為App配置上頂象技術的安全SDK，以防範該漏洞帶來的威脅。

這是一個“核彈”級的安全漏洞

“Janus”漏洞是Google在12月發佈的安卓系統的安全公告中披露的，由移動安全公司GuardSquare 的研究團隊發現，漏洞編號：CVE-2017-13156。

該漏洞的是基於安卓jarsigner機制建立起來的簽名和校驗機制signature scheme V1。簽名和校驗是安卓系統的關鍵機制，用於確保App不被他人修改、偽造和篡改。而“Janus”漏洞卻可以讓攻擊者繞過安卓的簽名機制，導致攻擊者可以對任何App進行篡改。

一旦攻擊者將植入惡意代碼的仿冒的App投放到安卓商店等第三方應用市場，就可替代原有的App，進行公開下載、更新。網友安裝這些仿冒App後，不僅會泄露個人賬號、密碼、照片、文件等隱私信息，手機更可能被植入木馬病毒，進而或導致手機被ROOT，甚至被遠程操控。

由於安卓系統的其他安全機制都是建立在簽名和校驗基礎之上，“Janus”漏洞可以說是突破了安卓整個安全機制，導致安卓整個安全體系的淪陷。因此，該漏洞也被國內安全研究者定位“核彈”級別。

不過，“Janus”漏洞只針對於安卓5.0-8.0系統下、基於signature scheme V1簽名機制的App，使用了Siginature scheme V2簽名機制的App不受影響。此外，Google最新版的安卓系統也已經修複了該漏洞。

頂象技術緊急發佈App防護方案

頂象技術安全專家泮曉波建議廣大安卓用戶：

1、儘快升級到最新版安卓系統；

2、儘量到官方網站更新、下載App，短期內不用使用第三方安卓應用市場更新或下載App。

針對廣大安卓開發者，泮曉波建議：

1、將App APK升級到最新的Signature scheme V2簽名機制；

2、開發者及時校驗App APK文件的開始位元組，以確保App未被篡改;

3、使用頂象技術提供的安全SDK。

針對“janus”漏洞的由來、影響和解決方案，頂象技術將做詳細技術分析。

* 更多業務安全類的技術分享，請關註頂象官方博客：https://www.dingxiang-inc.com/blog