據(jù)外媒 BleepingComputer 美國時間12月9日報道，谷歌在 2017年12月發(fā)布的安卓安全公告中包含一個漏洞修復(fù)程序，該漏洞允許惡意攻擊者繞過應(yīng)用程序簽名并將惡意代碼注入安卓應(yīng)用程序。

這個名為 Janus 的漏洞（CVE-2017-13156）由移動安全公司 GuardSquare 的研究團隊發(fā)現(xiàn)，該漏洞存在與安卓操作系統(tǒng)用于讀取應(yīng)用程序簽名的機制中，會允許惡意應(yīng)用在不影響應(yīng)用簽名的情況下，向安卓應(yīng)用的 APK 或 DEX 格式中添加代碼。如果有人想用惡意指令打包成一款應(yīng)用，安卓系統(tǒng)仍會將其視為可信任應(yīng)用。

研究人員表示，安卓操作系統(tǒng)在各個位置少量檢查字節(jié)，以驗證文件的完整性。對于 APK 和 DEX 文件，這些字節(jié)的位置是不同的，研究人員發(fā)現(xiàn)他們可以在 APK 中注入一個 DEX 文件，而安卓操作系統(tǒng)仍會認(rèn)為它正在讀取原始的 APK 文件，因為 DEX 在插入過程不會改變安卓檢查完整性的字節(jié)，而且文件的簽名也不會改變。

Janus 攻擊的唯一不足之處在于，攻擊者必須引誘用戶下載第三方應(yīng)用商店中的的應(yīng)用。研究人員還稱，Janus 漏洞只影響使用應(yīng)用程序簽名方案v1，使用簽名方案v2簽署的應(yīng)用不受影響。另外，Janus 僅影響運行 Android 5.0及更高版本的設(shè)備。

不過，雷鋒網(wǎng)了解到，國內(nèi)有相關(guān)安全研究員將其稱呼為“生態(tài)級別的安卓簽名欺騙漏洞”，并認(rèn)為這是安全年度大洞，各廠商有得忙了。