创头条App
扫码下载APP
扫码下载APP

您是个人用户,您可以认领企业号

    免密码登录
  • 图形验证码
  • 获取验证码
  • 立即登录
第三方账号登录
·
·

Hello,新朋友

在发表评论的时候你至少需要一个响亮的昵称

GO
资讯 > 高危Android漏洞可签名检测机制注入恶意软件应用程序
分享到

高危Android漏洞可签名检测机制注入恶意软件应用程序

时间:12-15 17:31 阅读:49788次 转载来源:金融界

摘要:【赛迪网讯】2017年12月Android发布了其新的安全公告,而据外媒报道,其中提到了一个漏洞,该漏洞可能允许攻击者修改Android应用程序代码,而不影响他们的签名验证证书,通过绕过应用程序签名验证并将恶意代码注入Android应用程序,让数以百万计的Android设备面临严重的安全风险。据悉,此漏洞由移动安全公司GuardSquare的研究安全研究人员发现,研究人员表示Android系统原本的设置会在各位置检查字节,以验证文件的完整性。而对于APK和DEX文件来说它们有着各自不同的位置,经过

  【赛迪网讯】2017年12月Android发布了其新的安全公告,而据外媒报道,其中提到了一个漏洞,该漏洞可能允许攻击者修改Android应用程序代码,而不影响他们的签名验证证书,通过绕过应用程序签名验证并将恶意代码注入Android应用程序,让数以百万计的Android设备面临严重的安全风险。

  据悉,此漏洞由移动安全公司GuardSquare的研究安全研究人员发现,研究人员表示Android系统原本的设置会在各位置检查字节,以验证文件的完整性。而对于APK和DEX文件来说它们有着各自不同的位置,经过实验研究人员发现,当他们用Android设备处理APK安装一些应用程序时,可以在APK中添加额外DEX文件,却不影响应Android系统读取原先的APK文件及应用程序的签名。

  研究人员把这个漏洞称为Janus,该漏洞由于缺乏文件完整性检查,可能允许攻击者预先隐藏的恶意代码编译成一个APK文件包含合法的代码与有效签名,最终欺骗程序安装过程执行代码在目标设备上而不被发现。令人担忧的是,大多数的Android用户不会收到这份安全报告或对此事毫不知情,直到他们的设备制造商发布补丁更新。

  不过大家不必过于担心,Janus还是存在弱点的,它不可能通过在官方应用商店中推送恶意更新,此外该漏洞并不影响Android7.0牛轧糖和支持的APK签名方案版本2的系统,所以小编提醒安卓用户最好禁止从第三方应用商店下载安装更新应用,务必及时更新Android较高版本的本操作系统,谨防类似安全隐患的存在。

声明:该文章版权归原作者所有,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系。

评论

未登录的游客
游客

    为您推荐
  • 推荐
  • 人物
  • 专题
  • 干货
  • 地方
  • 行业
+加载更多资讯

阅读下一篇

做懂行业的国产化云桌面中兴uSmartView点亮2018

做懂行业的国产化云桌面中兴uSmartView点亮2018

返回创头条首页

©2015 创头条版权所有ICP许可证书京ICP备15013664号RSS