什么时Janus 签名机制漏洞?
检测 App 程序是否存在 Janus 签名机制漏洞。 Google 披露了一个名为“Janus”的安卓漏洞(漏洞编号:CVE-2017- 13156),该漏洞可以让攻击者绕过安卓系统的 Signature scheme V1 签名 机制,用篡改过的 APK 覆盖原有的应用,并可访问原应用所有的数据,直接 对 App 进行篡改。
由于安卓系统的其他安全机制也是建立在签名和校验基础 上的,所以可以说该漏洞相当于绕过了安卓系统的整个安全机制。
该漏洞的影响范围?
- 安卓 5.0-8.0 的各个版本系统;
- 使用安卓 Signature scheme V1 签名的 App APK 文件。
该漏洞的危害?
- 对存储在原手机上的数据进行读取;
- 对用户的输入做各种监听、拦截、欺诈,引导用户输入密码,转账;
- 更新 Android 的系统 APP,从获得更高的系统权限,甚至 root/越狱,为其他攻 击做准备。
解决方案?
开发者自查:
- 及时校验 App APK 文件的开始字节,以确保 App 未被篡改;
- 对应用同时使用 Signature scheme V1 和 Signature scheme V2 签名机制