12月4日，Google 通過其官方網(wǎng)站通告了Janus高危漏洞(CVE-2017-13156)，該漏洞可以讓攻擊者無視Android系統(tǒng)的簽名機(jī)制signature scheme V1簽名機(jī)制，在不修改簽名的情況下即可在官方應(yīng)用中植入惡意dex代碼。

由于Android系統(tǒng)的其他安全機(jī)制也是建立在簽名和校驗(yàn)基礎(chǔ)之上，該漏洞相當(dāng)于繞過了Android系統(tǒng)的整個(gè)安全機(jī)制。

根據(jù)分析顯示，Android5.0到8.0系統(tǒng)以及采用Android APK Signature Scheme v1對應(yīng)用進(jìn)行簽名的APK應(yīng)用均受到影響。目前，騰訊手機(jī)管家聯(lián)合騰訊反詐騙實(shí)驗(yàn)室對Janus漏洞進(jìn)行分析并跟進(jìn)，經(jīng)過更新已實(shí)現(xiàn)對Janus漏洞的檢測，將持續(xù)關(guān)注黑產(chǎn)攻擊者對該漏洞的利用情況，并及時(shí)同步最新進(jìn)展給合作伙伴。

Janus高危漏洞存在于Android系統(tǒng)用于讀取應(yīng)用程序簽名的機(jī)制中，攻擊者利用此漏洞可將惡意代碼植入第三方手機(jī)應(yīng)用，任意篡改官方應(yīng)用。由于Janus漏洞涉及應(yīng)用的開發(fā)層面，一旦被不法分子利用，影響用戶量級將過億。行業(yè)內(nèi)有安全專家更是將其稱呼為“生態(tài)級別的安卓簽名欺騙漏洞”，并認(rèn)為這是安全年度大洞。

同時(shí)，Janus高危漏洞對手機(jī)用戶來說，則意味著信息泄露或被遠(yuǎn)程操控等風(fēng)險(xiǎn)。騰訊手機(jī)管家安全專家楊啟波指出，一款應(yīng)用包含高權(quán)限如系統(tǒng)應(yīng)用，一旦被植入惡意代碼，則可能泄露用戶手機(jī)中的隱私信息，包括個(gè)人賬號、密碼、照片、文件等信息，甚至Root手機(jī)實(shí)現(xiàn)對手機(jī)的遠(yuǎn)程操控。

如此一來，廣大手機(jī)用戶和Android應(yīng)用廠商應(yīng)該如何應(yīng)對?首先，對手機(jī)用戶來說，騰訊手機(jī)管家提醒用戶應(yīng)避免安裝更新未知軟件，選擇手機(jī)應(yīng)用官網(wǎng)、騰訊應(yīng)用寶、騰訊手機(jī)管家“軟件管理”等正規(guī)渠道下載應(yīng)用;同時(shí)下載安裝騰訊手機(jī)管家等專業(yè)的手機(jī)安全軟件，有效識別并攔截查殺手機(jī)病毒。

其次，對Android應(yīng)用開發(fā)廠商來說，可通過使用尚未受到影響的signature scheme v2重新簽名相關(guān)應(yīng)用，或自帶代碼防篡改機(jī)制的代碼混淆工具緩解該漏洞影響;也可接入騰訊反詐騙實(shí)驗(yàn)室的APK云安全檢測SDK攔截攻擊者惡意提交包含漏洞的應(yīng)用，使用騰訊御安全提供的安全加密SDK加密軟件。除了對所有更新包進(jìn)行必要的簽名校驗(yàn)外，廠商還需進(jìn)行其它邏輯校驗(yàn)，如升級包字節(jié)大小校驗(yàn)或升級包md5校驗(yàn)等。

隨著移動互聯(lián)網(wǎng)時(shí)代的到來，手機(jī)安全一直是用戶關(guān)注的焦點(diǎn)。騰訊手機(jī)管家作為移動端的第一道安全防線，依托騰訊安全聯(lián)合實(shí)驗(yàn)室移動安全實(shí)驗(yàn)室和反詐騙實(shí)驗(yàn)室的前沿技術(shù)，通過自研殺毒引擎，有效保障了用戶的手機(jī)安全和財(cái)產(chǎn)安全，讓用戶的移動生活更安全。