登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于Android系统存在签名验证绕过高危漏洞的情况通报

2013-07-10 17:35:39
安全公告编号:CNTA-2013-0021


近日,CNCERT主办的国家信息安全漏洞共享平台(CNVD)收录了Android操作系统存在一个签名绕过的高危漏洞(编号:CNVD-2013-28152)。攻击者利用该漏洞可以篡改合法应用程序的安装文件并植入恶意代码并绕过Android系统数字签名验证,进而大规模传播手机恶意程序,对广大Android智能终端用户构成威胁。具体情况通报如下:


一、漏洞情况分析

Android操作系统对应用程序安装文件( APK文件)采用一套数字签名校验机制来确认安装文件的有效性和完整性,用于防范应用程序的篡改和伪造。根据测试情况,该套校验机制存在不完全校验设计缺陷,对应用程序安装包内相同文件名的多个文件仅执行一次数字签名验证,验证成功后就继续执行后续文件安装操作。攻击者可以精心构造同名恶意代码文件,使得应用程序既可通过Android系统的验证又可将恶意代码文件在安装过程中替换原有正常文件。


二、漏洞影响范围

CNVD对该漏洞的综合评级为“高危”。

受该漏洞影响的Android系统版本包括Android1.6至Android 4.2.2之间相关版本。CNCERT研判认为,随着漏洞信息的逐步披露和扩散,有可能被利用发起恶意程序制造和传播的大规模攻击活动,严重威胁Android智能终端用户安全。


三、应对措施建议

根据互联网上公开报道称,Android操作系统生产厂商——谷歌公司确认该漏洞的存在,但未公开漏洞的详细信息。CNCERT在获知漏洞情况后询问了国内部分Android系统手机厂商,相关厂商尚未针对该漏洞采取技术应对措施。相关建议如下:

(一)手机厂商可自行对待出厂产品采取一些临时技术措施(参见附件)进行防范,同时对已售产品提供更新程序,以备用户自行下载或在线完成系统更新。

(二)应用商店应加强应用程序安全检测,及时发现伪造合法签名的恶意程序。按照工业和信息化部《移动互联网恶意程序监测与处置机制》,配合CNCERT做好应用程序的鉴定和处置相关工作。

(三)Android智能终端用户需提高警惕,避免下载不明来源或未知签名的应用程序,如发现应用程序存在恶意行为,请及时卸载并举报。

CNCERT将继续跟踪事件后续情况,如需技术支援,请联系CNCERT。电子邮箱:cncert@cert.org.cn,联系电话:010-82990999。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2013-28152

(注:国家信息安全漏洞共享平台(CNVD)、中国反网络病毒联盟(ANVA)成员单位——北京奇虎科技有限公司、哈尔滨安天科技有限公司、金山软件有限公司等三家公司协助对漏洞情况进行了较为深入的分析)

附:建议手机厂商采用的临时修复措施

增加Android系统对APK文件的异常检测,需要修改Android系统的操作系统源文件,该文件路径为:

platform/libcore/luni/src/main/java/java/util/zip/ZipFile.java

在该文件的readCentralDir()函数结尾处删去如下一行代码:

entries.put(newEntry.getName(), newEntry);

同时增加如下代码:

if (entries.put(newEntry.getName(),newEntry) != null) {

throw new ZipException("Duplicateentries: file may have been tampered with");

}

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论