安卓防御机制遭Janus漏洞击穿 梆梆安全率先解决

2017-12-13 安全技术2590

日前，谷歌刚刚修复了一个几乎彻底击穿安卓系统整体安全机制的重大漏洞。梆梆安全在第一时间向用户做出预警的同时，更率先给出针对移动应用(App)的安全解决方案。

代号为“Janus”的安卓漏洞（漏洞编号：CVE-2017-13156），能够让恶意攻击者在完全不修改App开发者签名的情况下，通过植入恶意dex代码，对App实施恶意代码注入，逃避Android签名校验机制甚至获取系统ROOT权限。

Janus黑云笼罩安卓全生态

目前，从Android 5.0-8.1系统，以及所有仅采用了Android APK Signature Scheme V1签名机制的App均受Janus漏洞影响。由于Janus漏洞存在于安卓系统用于读取应用程序签名的Android APK Signature Scheme v1机制中，而安卓系统其它所有的安全机制又都建立于签名和校验基础之上，这意味着通过Janus漏洞恶意攻击者能够彻底绕开安卓系统的全部防御措施。

     Janus漏洞攻击覆盖面

     系统层面（普通用户需注意）：从Android 5.0-Android 8.1的各个安卓系统版本；

     移动应用层面（开发者需注意）：所有仅采用了Android APK Signature Scheme V1签名的App     APK文件。

在罗马神话中“Janus”是天门神，负责开关天门，让人间普照阳光，或者让黑暗降临大地。Janus漏洞打开了安卓系统的“安全大门”，从安卓系统自身到根植于其上的App都被笼罩在Janus漏洞的黑云之下，整个安卓生态系统都面临着严重威胁。

(Janus漏洞原理图)

对于当前仍未对其App采用谷歌安全性更高的Signature Scheme V2签名机制的开发者，其所有已经在应用商店/应用市场里发布的App，都容易成为恶意攻击者利用该漏洞植入广告、木马病毒、恶意程序的载体，进而对安卓终端用户进行各类攻击，窃取个人隐私信息数据，甚至获取手机ROOT权限，让手机被非法远程操控成为物联网肉鸡。

针锋相对 三道防线封堵“天门神(Janus)”威胁

梆梆安全专家建议，要想实现对天门神Janus漏洞的封堵，需要对安卓系统和安卓App均实施恰当的安全防护操作。为此，我们提出建立三道防线组成立体防护网络：

第一道系统级防线：由于Janus漏洞利用的是安卓系统缺陷，所以需要所有安卓终端用户将安卓系统升级至Android 5.1.1及以上版本，并在第一时间更新安全补丁。

第二道应用级防线：所有安卓应用开发者需尽快将App采用谷歌Signature Scheme V2签名机制并对已发布版本进行升级，提高风险抵抗能力。

谷歌V2签名实战演示（此处所采用的签名工具为“梆梆安全签名助手”）：

1、启动“梆梆安全签名助手”后选择“APK签名”这一功能项。

2、选择“使用指定的签名”，并在“签名策略”里选择“V1+V2(Full APK Signature)”。

3、点击“开始签名”即可为安卓App APK文件增加最新的Signature Scheme V2签名，勾选“自动保存签名信息”，签名信息只会保存在用户本地电脑上。

第三道专业级防线：使用梆梆安全移动应用加固保护服务，应对黑客通过恶意dex对APK原dex的各种非法调用和恶意攻击行为。

对于普通用户，建议下载应用时尽量去该应用的官方网站下载。在此漏洞爆发的高危时期，其他下载渠道依然存在一定安全风险，请谨慎选择！

在移动互联网时代下，各类App已经成为黑客发起攻击的主要途径，相关移动操作系统、热门移动应用的安全漏洞在被愈加频繁的挖掘、曝光。做为全球安全服务领跑者的梆梆安全，正在从移动应用自身、移动安全生态环境提供全面的安全防护，并将安全防护能力延伸到互联网、物联网甚至人工智能领域，彻底封堵与App相关联的各类恶意攻击，让用户安心享受美好的智能生活。

注释：

Windows版“梆梆安全签名助手”获取通道如下

https://dev.bangcle.com/assets/bangclesigner_win.rar

苹果版“梆梆安全签名助手”获取通道如下

https://dev.bangcle.com/assets/bangclesigner_mac.zip