近日网上公开了安卓漏洞CVE-2017-13156的POC，该漏洞是一个安卓签名欺骗漏洞，目前被命名为Janus漏洞，影响范围极大。 [出自:jiwo.org]

漏洞主要起因主要有两点：

（1）APK文件实际是一个zip压缩文件，它可以在压缩文件中包含任意字节。而JAR的签名方案只考虑了zip条目，在计算或验证应用程序的签名时，它会忽略任何额外的字节。另一方面，DEX文件可以在字符串，类，方法定义等的常规部分之后包含任意字节。

因此，安卓的安装包只检查解包后apk中的文件的签名，但并不会验证apk整个包的完整性。

（2）另一个主要的因素在于Android运行并加载APK文件时，会提取其DEX文件，然后再运行其代码。实际上，ART虚拟机可以加载和执行APK文件和DEX文件。当它在文件头中找到要运行DEX文件的字段时，便会运行目录下的DEX文件。

攻击者可以利用这种方法，在正常签名的APK包中加入任意的含有恶意代码的DEX文件且不会影响签名，在Android系统中仍然能成功运行。

因此，请用户在正规的安卓应用市场中下载安卓APK文件，并最好进行哈希验证，防止中招。