Android系统又爆新漏洞：允许恶意软件绕过应用程序签名

近日，据谷歌Android系统安全公告显示，安卓系统存在着一个漏洞，黑客可以通过该漏洞绕过应用程序的签名进行恶意攻击，并将恶意代码注入到Android应用程序中。

安全机构研究发现，该漏洞存留在Android用户系统中，从而读取应用程序签名，并向安卓应用的 APK 或 DEX格式文件中添加代码，这个漏洞GuardSquare将其命名为Janus。

Android系统会在APK或DEX文件的各个位置少量检查字节，用来验证文件安全性，而APK文件和DEX文件所处的位置都是不同的。研究发现，他们可以在APK中注入一个DEX文件，而Android系统仍会认为它正在读取的是原始的APK文件。

发生的主要原因在于，DEX文件的插入过程中并不会改变Android系统的检测验证，文件完整性的字节，而且文件签名也不会改变。

该漏洞攻击的不同之处是，它不能通过由GooglePlay商店分发的更新感染到你的Android设备。要让用户中招，恶意攻击者只能诱骗用户访问第三方应用商店，并诱使用户安装遭受过感染的应用程序的更新以代替合法的应用程序。安全人员发现，Janus漏洞只影响使用应用程序签名方案v1，使用签名方案v2签署的应用不受影响。另外，Janus 仅影响运行 Android5.0及更高版本的设备。

目前，用户手上的Nexus和Pixel设备将很快接受到谷歌方面漏洞修复硬件的推送，为了安全，用户应第一时间内更新最新的版本，以免遭受到黑客的攻击。由OEM制造的Android设备何时修复此漏洞，则要看OEM的安排和计划。