美國時間12月9日Google在其官網通告了一個名為“Janus”的安卓漏洞，該漏洞可以讓攻擊者繞過安卓系統的簽名校驗，直接在APP內惡意植入代碼。

　　影響范圍：

　　1 所有Android 5.0以上系統

　　2 所有僅采用了Android APK Signature Scheme V1簽名機制的App

　　12月13日，360加固保團隊緊急上線了針對Janus漏洞的解決方案，該方案對Janus漏洞進行掃描、檢測并采取相應的安全保護措施，有效地防止黑客通過Janus漏洞修改原始Dex文件，插入惡意代碼和廣告，保護廣大用戶及開發者利益

　　Janus漏洞原理

　　Janus漏洞產生的根源在于將DEX文件和APK文件拼接之后校驗簽名時只校驗了文件的APK部分，而虛擬機執行時卻執行了文件的DEX部分，導致了漏洞的發生。由于這種同時為APK文件和DEX文件的二元性，聯想到羅馬的二元之神Janus，將該漏洞命名為Janus漏洞。

　　(Janus漏洞原理圖)

　　Android支持兩種應用簽名方案，一種是基于JAR簽名的方案(v1方案)，另一種是Android Nougat(7.0)中引入的APK簽名方案(v2方案)。

　　v1簽名不保護APK的某些部分，例如ZIP元數據。APK驗證程序需要處理大量不可信(尚未經過驗證)的數據結構，然后會舍棄不受簽名保護的數據。這會導致相當大的受攻擊面。

　　Janus漏洞危害

　　代號為“Janus”的安卓漏洞(漏洞編號：CVE-2017-13156)，能夠讓惡意攻擊者在完全不修改App開發者簽名的情況下，通過植入惡意dex代碼，對App實施惡意代碼注入，逃避Android簽名校驗機制甚至獲取系統ROOT權限。

　　如何避免Janus漏洞?

　　開發者：

　　1 升級至V2簽名;

　　在Android Studio中強制開啟V2簽名，如下圖所示：

　　或在app的build.gradle的android標簽下加入如下:

　　2. 360加固保提供的加固助手是支持V2簽名，開發者們也可以使用加固助手進行簽名。

　　用戶：

　　1. 安卓用戶更新安卓版本，第一時間更新安全補丁;

　　2. 盡量從APP官網下載更新APP，謹慎安裝來路不明的APP。