2017年7月31日GuardSquare报告了一个签名漏洞并于当天收到确认。Google本月修复了该漏洞,编号CVE-2017-13156。经过360CERT分析确认,该问题确实存在,影响较为严重。攻击者可以绕过签名验证构造新的恶意程序。
在第一时间监测到“Janus”漏洞的情况后,顶象技术分析显示,安卓5.0到8.0系统以及基于signature scheme V1签名机制的App均受“Janus”漏洞影响。建议将App APK升级到最新的Signature scheme V2签名机制。
Google在本月4日发布的Android安全公告中提到一个Android的漏洞,利用该漏洞的攻击者可修改app而不影响其原始签名。该漏洞产生的根源在于:一个文件可以同时是APK文件和DEX文件。
12月13日,360加固保团队紧急上线了针对Janus漏洞的解决方案,该方案对Janus漏洞进行扫描、检测并采取相应的安全保护措施,有效地防止黑客通过Janus漏洞修改原始Dex文件,插入恶意代码和广告,保护广大用户及开发者利益。