熱搜:win11繞過硬件限制安裝 一鍵重裝Win10系統(tǒng) 最干凈的u盤啟動(dòng)盤 真正純凈版的win7系統(tǒng)
編輯:jiayuan 2017-12-12 08:12:03 來源于:IT之家
12月12日消息 作為全球用戶最多的智能手機(jī)操作系統(tǒng),Android系統(tǒng)的安全問題一直是人們關(guān)注的焦點(diǎn)!而據(jù)外媒最新消息顯示,Google公司在今年12月份的Android系統(tǒng)安全公告中公布了一個(gè)新的安全漏洞,該漏洞不僅允許惡意攻擊者繞過應(yīng)用程序的簽名,還可以將惡意代碼植入Android應(yīng)用程序。
報(bào)道稱,移動(dòng)安全公司GuardSquare的研究團(tuán)隊(duì)發(fā)現(xiàn),該漏洞駐留在Android系統(tǒng)用于讀取應(yīng)用程序簽名的機(jī)制中。
GuardSquare的研究人員表示,Android系統(tǒng)會(huì)在APK或DEX文件的各個(gè)位置少量檢查字節(jié),以驗(yàn)證文件的完整性,對(duì)于APK和DEX文件來講,這些字節(jié)的位置是不同的。研究人員發(fā)現(xiàn),他們可以在APK中注入一個(gè)DEX文件,而Android系統(tǒng)仍會(huì)認(rèn)為它正在讀取的是原始的APK文件。
之所以會(huì)發(fā)生這種情況,是因?yàn)镈EX的插入過程不過改變Android系統(tǒng)將要檢查的用于驗(yàn)證文件完整性的字節(jié),而且文件的簽名也不會(huì)改變。
在現(xiàn)實(shí)中,這個(gè)漏洞(GuardSquare將其命名為Janus)將允許攻擊者在有效的Android應(yīng)用程序更新(APK文件)中注入惡意的DEX文件。
此外,由于更新后的應(yīng)用程序繼承了原始的應(yīng)用程序的權(quán)限,因此,通過這種方法侵入你的Android手機(jī)的惡意程序可以冒充合法的應(yīng)用程序輕松地獲得非常敏感的訪問權(quán)限。
Janus攻擊的唯一不足之處在于,它不能通過由Google Play商店分發(fā)的更新感染到你的Android設(shè)備,要讓用戶中招,惡意攻擊者只能誘騙用戶訪問第三方應(yīng)用商店,并誘使用戶安裝遭受過感染的應(yīng)用程序的更新以代替合法的應(yīng)用程序。
GuardSquare表示,Janus漏洞只影響采用V1簽名方案的應(yīng)用程序,采用V2簽名方案的應(yīng)用程序不受影響。另外,Janus漏洞僅影響運(yùn)行Android 5.0及更高版本Android系統(tǒng)的設(shè)備。
據(jù)了解,那些受官方支持的Nexus和Pixel設(shè)備的用戶,很快就可以收到修復(fù)該漏洞的安全更新補(bǔ)丁了。至于由OEM制造的Android設(shè)備將在何時(shí)修復(fù)這一問題,用戶們恐怕就只能耐心等待OEM的計(jì)劃和安排了。
發(fā)表評(píng)論
共0條
評(píng)論就這些咯,讓大家也知道你的獨(dú)特見解
立即評(píng)論以上留言僅代表用戶個(gè)人觀點(diǎn),不代表系統(tǒng)之家立場(chǎng)