核弹级安卓漏洞Janus爆发 360加固保上线解决方案

  Janus Burst 360加强型核安全在线解决方案,用于核AOL漏洞

  美国时间12月9日,谷歌在其官方网站上公布了“Janus”Android漏洞,该漏洞允许攻击者绕过Android签名验证,将恶意代码直接嵌入到APP中。影响:1所有Android 5.0+系统2所有App Only Android APK签名方案V1签名App应用程序360安全小组于12月13日为Janus漏洞扫描Janus漏洞提供即时解决方案,检测并采取适当的安全措施以有效防止黑客通过Janus的漏洞修改原有的Dex文件,插入恶意代码和广告来保护用户和开发者的利益Janus漏洞Janus漏洞的根源在于DEX文件和拼接APK文件验证签名后,只有APK部分文件被验证,虚拟机执行文件的DEX部分,导致漏洞发生。由于这两个APK文件和DEX文件的双重性,Janus,罗马的祸害,提醒了Janus漏洞。 (Janus漏洞图)Android支持两个应用程序签名方案,一个基于Android Nougat(7.0)中引入的JAR签名方案(v1方案),另一个基于APK签名方案(v2方案)。 v1签名不保护APK的某些部分,如ZIP元数据。 APK验证程序需要处理大量不可信的(未经身份验证的)数据结构,然后丢弃未签名的受保护数据。这会导致相当大的攻击面。 Janus漏洞Android代码漏洞(漏洞编号:CVE​​-2017-13156)代码为“Janus”,恶意攻击者可以通过嵌入恶意dex代码恶意嵌入应用程序,而无需修改App开发人员的签名。开发人员:1升级到V2签名;在Android Studio中强制V2签名,如下图所示:或者在应用程序的build.gradle android中添加如下内容标签:助手是支持V2签名的,开发者也可以使用加固助手进行签名。用户:1. Android用户更新Android版本,第一时间更新安全补丁; 2.尝试从APP官方网站下载APP,小心安装未知的APP。