安卓系統年度大漏洞曝光，每日上千萬的活躍安卓應用存在被利用可能，上億用戶都在受影響之列。12月4號，Google通過其官方網站通告了高危漏洞CVE-2017-13156(發現廠商命名為Janus),該漏洞可以讓攻擊者無視安卓簽名機制，對未正確簽名的官方應用植入任意代碼，目前安卓5.0—8.0等個版本系統均受影響。

　　據了解，該漏洞存在于Android系統用于讀取應用程序簽名的機制中，會在不影響應用簽名的情況下向正常的Android APK 或 DEX 格式中添加惡意代碼。如果有人想用惡意指令打包成一款應用，安卓系統仍會將其視為可信任應用。

　　而該漏洞產生的根源在于：一個文件可以同時是APK文件和DEX文件。騰訊安全聯合實驗室反詐騙實驗室負責人李旭陽指出，攻擊者可以利用該漏洞，將一個惡意的DEX文件與原始APK文件進行拼接，由于Android系統的V1簽名方案在驗證簽名時舍棄掉了APK文件前面嵌入的這部分內容，從而不影響APK文件的簽名Android運行時將該植入惡意DEX文件的APK文件看作是之前應用的合法升級版本并允許這種安裝，從而執行惡意DEX代碼。

　　(Janus漏洞原理)

　　李旭陽強調，如果被嵌入惡意DEX代碼的應用包含高權限如系統應用，那么該惡意應用可繼承其高權限，訪問系統的敏感信息，甚至完全接管系統。

　　自Android系統問世以來，就要求開發者對應用進行簽名。在應用進行更新時，只有更新包的簽名與現有的app的簽名一致的情況下，Android運行時才允許更新包安裝到系統。若app被惡意的攻擊者修改，系統會拒絕安裝此更新。這樣可以保證每次的更新一定來自原始的開發者。

　　本次曝光的漏洞涉及應用的開發層面，一旦被不法分子利用，影響用戶量級將過億。行業內有安全專家更是將其稱呼為“生態級別的安卓簽名欺騙漏洞”，并認為這是安全年度大洞。

　　騰訊安全聯合實驗室反詐騙實驗室建議廣大用戶安裝并使用手機管家等安全軟件，同時不要安裝不明來源的應用;對于APP應用廠商而言，應使用signature scheme v2重新簽名相關應用，并使用自帶代碼防篡改機制的代碼混淆工具,可以緩解該漏洞影響，除此之外，對所有更新包除了進行簽名校驗外，還需進行其它邏輯校驗，如(升級包字節大小校驗或升級包md5校驗)。

　　目前，騰訊安全聯合實驗室反詐騙實驗室已經分析并跟進Janus漏洞,病毒檢測引擎已經支持Janus (CVE-2017-13156)漏洞利用的檢測;手機廠商、應用分發市場、瀏覽器等可以通過接入騰訊反詐騙實驗室提供的樣本檢測能力來檢測惡意的病毒樣本。騰訊安全反詐騙實驗室后續將持續關注黑產攻擊者對該漏洞的利用情況，并及時同步最新進展給合作伙伴。