Android “Janus”安全漏洞及其规避方案
一、 漏洞说明
2017 年 12 月, Google 发布 “Janus”安卓漏洞(CVE-2017-
13156)。该漏洞可以让攻击者绕过 Android 系统的签名机制,在
不改变开发者签名的情况下对 APP 进行篡改。
在 Android 5.0 到 8.0 系统中,所有基于 signature scheme
V1 签名机制的 App 均受“Janus”漏洞影响。 仅 基于 signature
scheme V2 签名的 APP 在 Android 7.0 及以上版本系统中不受影
响。
二、 漏洞危害
Android 应用进行更新时,Android 运行时会检查更新包签名,
只有签名与原安装包一致才允许更新包安装到系统。基于 Janus 漏
洞,攻击者可以修改 APP 而不影响其原始签名,篡改后的 APP 可以
成功安装运行。具体风险产生于 APK 被篡改后植入的恶意代码,可
能造成的后果如下:
1) 对存储在原手机上的数据进行读取,例如金融类 APP 的银行密
码、支付密码、token; 通信类 APP 的聊天记录、图片、通信录
2) 对用户的输入做各种监听、拦截、欺诈,引导用户输入密码,转
评论0
最新资源