Android漏洞允许黑客在不改变签名的情况下将恶意软件注入应用程序

配音贾纳斯，该漏洞使攻击者能够在不影响其签名验证证书的情况下修改Android应用程序的代码，最终允许他们分发与原始应用程序外观和工作原理相同的合法应用程序的恶意更新。

脆弱性(CVE-2017-13156)今年夏天，移动安全公司GuardSquare的安全研究人员发现并向谷歌报告了这一漏洞，作为其12月份安卓安全公告的一部分，谷歌已经修补了40多个漏洞。
然而，令人担忧的是，大多数安卓用户在接下来的几个月内不会收到这些补丁，直到他们的设备制造商（OEM）为他们发布定制的更新，这显然让大量智能手机用户容易受到黑客的攻击。

该漏洞会影响使用APK签名方案v1的应用程序，该方案安装在运行Android版本5（棒棒糖）和6（棉花糖）的设备上。

说明：Android Janus漏洞是如何工作的？

该漏洞存在于Android处理某些应用程序的APK安装的方式中，使得在不影响应用程序签名的情况下向APK文件添加额外字节的代码成为可能。

在继续之前，您需要了解有关APK文件的一些基本知识。

有效的APK文件是一种存档文件，就像Zip一样，它包括应用程序代码、资源、资产、签名、证书和清单文件。

Android操作系统5.0（棒棒糖）和6.0（棉花糖）的早期版本也支持一个进程虚拟机，该虚拟机有助于执行APK存档，其中包含应用程序代码和文件的编译版本，并用DEX（Dalvik Executive）文件格式压缩。

安装Android应用程序或其更新时，设备会检查APK头信息，以确定压缩的DEX文件中是否包含代码。

如果header说APK archive包含DEX文件，则流程虚拟机将相应地反编译代码并执行它；否则，它会将代码作为常规APK文件运行。
事实证明，APK归档文件可以同时包含DEX文件和常规应用程序代码，而不会影响其有效性和签名。

研究人员发现，这种由于缺乏文件完整性检查而添加额外字节代码的能力，可能使攻击者能够将以DEX格式编译的恶意代码预先放入包含合法代码和有效签名的APK存档中，最终欺骗应用程序安装过程，在目标设备上执行这两个代码而不被检测到。

换句话说，黑客不需要攻击者修改合法应用程序的代码（这会使签名无效），相反，该漏洞只允许恶意软件作者向原始应用程序添加一些额外的恶意代码行。

攻击场景

在创建恶意但有效的合法应用程序版本后，黑客可以使用各种攻击载体分发这些应用程序，包括垃圾邮件、提供虚假应用程序和更新的第三方应用商店、社会工程，甚至中间人攻击。

据研究人员称，可能是这样“欺骗某些用户相对容易，因为应用程序仍然可以看起来与原始应用程序完全相同，并且具有正确的签名”。

我发现中间人攻击更有趣，因为它可能允许黑客恶意安装旨在通过未加密的HTTP连接接收其更新的应用程序。

GuardSquare解释说：“当用户下载应用程序的更新时，Android运行时会将其签名与原始版本的签名进行比较。如果签名匹配，Android运行时会继续安装更新”。

“更新后的应用程序继承了原始应用程序的权限。因此，攻击者可以利用Janus漏洞误导更新过程，并在不知情的用户的设备上安装具有强大权限的未经验证的代码”。

该安全公司补充道：“对于专家来说，常见的逆向工程工具不会显示注入的代码。用户在下载应用程序和更新时应始终保持警惕”。

由于该漏洞不影响支持APK签名方案版本2的Android 7（Nougat）和最新版本，因此强烈建议运行较旧Android版本的用户升级其设备操作系统（如果可用）。

不幸的是，如果你的设备制造商既不提供安全补丁，也不提供最新的安卓版本，那么你就不应该在谷歌Play Store之外安装应用程序和更新，以最大限度地降低被黑客攻击的风险。

研究人员还建议Android开发者始终应用签名方案v2，以确保他们的应用程序不会被篡改。