邯郸市锦诚网络科技有限公司竭诚为您服务,服务涵盖|邯郸软件开发|邯郸APP开发|邯郸OA|邯郸软件|邯郸APP

邯郸市锦诚网络科技有限公司

示例图片三
网站首页 > 新闻资讯 > 业界资讯

安卓漏洞怎么预防不中招

2017-12-18 17:54:26 邯郸市锦诚网络科技有限公司 阅读

每日上千万的活跃安卓应用存在被利用可能,上亿用户都在受影响之列。12月4号,Googl通过其官方网站通告了高危漏洞CVE-2017-13156发现厂商命名为Janu,安卓系统年度大漏洞曝光。该漏洞可以让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码,目前安卓5.08.0等个版本系统均受影响。

据了解,该漏洞存在于Android系统用于读取应用顺序签名的机制中,会在不影响应用签名的情况下向正常的AndroidAPK或 DEX格式中添加恶意代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。

而该漏洞产生的根源在于:一个文件可以同时是APK文件和DEX文件。腾讯平安联合实验室反诈骗实验室负责人李旭阳指出,攻击者可以利用该漏洞,将一个恶意的DEX文件与原始APK文件进行拼接,由于Android系统的V1签名方案在验证签名时舍弃掉了APK文件前面嵌入的这部分内容,从而不影响APK文件的签名Android运行时将该植入恶意DEX文件的APK文件看作是之前应用的合法升级版本并允许这种装置,从而执行恶意DEX代码。

李旭阳强调,如果被嵌入恶意DEX代码的应用包括高权限如系统应用,那么该恶意应用可继承其高权限,访问系统的敏感信息,甚至完全接管系统。

自Android系统问世以来,就要求开发者对应用进行签名。应用进行更新时,只有更新包的签名与现有的app签名一致的情况下,Android运行时才允许更新包安装到系统。若app被恶意的攻击者修改,系统会拒绝装置此更新。这样可以保证每次的更新一定来自原始的开发者。

本次曝光的漏洞涉及应用的开发层面,一旦被不法分子利用,影响用户量级将过亿。行业内有平安专家更是将其称呼为“生态级别的安卓签名欺骗漏洞”并认为这是平安年度大洞。

腾讯平安联合实验室反诈骗实验室建议广大用户装置并使用手机管家等安全软件,同时不要装置不明来源的应用;对于APP应用厂商而言,应使用signaturschemev2重新签名相关应用,并使用自带代码防篡改机制的代码混淆工具,可以缓解该漏洞影响,除此之外,对所有更新包除了进行签名校验外,还需进行其它逻辑校验,如(升级包字节大小校验或升级包md5校验)

目前,腾讯平安联合实验室反诈骗实验室已经分析并跟进Janu漏洞,病毒检测引擎已经支持JanuCVE-2017-13156漏洞利用的检测;手机厂商、应用分发市场、浏览器等可以通过接入腾讯反诈骗实验室提供的样本检测能力来检测恶意的病毒样本。腾讯平安反诈骗实验室后续将继续关注黑产攻击者对该漏洞的利用情况,并及时同步最新进展给合作伙伴。

免责声明:

本站系本网编辑转载,本站会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: sunjianjun@126.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。


Powered by MetInfo 5.3.14 ©2008-2018 www.metinfo.cn