Android “Janus”安全漏洞及其规避方案

最新推荐文章于 2024-11-02 21:48:09 发布
最新推荐文章于 2024-11-02 21:48:09 发布
阅读量959 收藏
点赞数
分类专栏: Android 文章标签: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xrong1118/article/details/84972134
版权

一、 漏洞说明
2017年12月, Google发布 “Janus”安卓漏洞(CVE-2017-13156)。该漏洞可以让攻击者绕过Android系统的签名机制,在不改变开发者签名的情况下对APP进行篡改。
在Android 5.0到8.0系统中,所有基于signature scheme V1签名机制的App均受“Janus”漏洞影响。仅基于signature scheme V2签名的APP在Android 7.0及以上版本系统中不受影响。
二、 漏洞危害
Android应用进行更新时,Android运行时会检查更新包签名,只有签名与原安装包一致才允许更新包安装到系统。基于Janus漏洞,攻击者可以修改APP而不影响其原始签名,篡改后的APP可以成功安装运行。具体风险产生于APK被篡改后植入的恶意代码,可能造成的后果如下:

  1. 对存储在原手机上的数据进行读取,例如金融类APP的银行密码、支付密码、token; 通信类APP的聊天记录、图片、通信录
  2. 对用户的输入做各种监听、拦截、欺诈,引导用户输入密码,转账。
  3. 利用这个漏洞可以更新Android的系统APP,从获得更高的系统权限,甚至root/越狱,为其他攻击做准备。

三、 解决方案:
方案一:使用Android studio 2.3及以上版本的studio工具进行打包,打包时同时勾选V1,V2签名
在这里插入图片描述
勾选v1和v2签名说明:
1)只勾选v1,跟以前是一样的,但是在7.0上不会使用更安全的

最低0.47元/天 解锁文章
Janus” 安卓系统签名漏洞(CVE-2017-13156)
Peter 的博客
03-20 3574
影响范围: 1、所有Android 5.0以上系统 2、所有仅采用了Android APK Signature Scheme V1 签名机制的App Janus漏洞原理 Janus漏洞产生的根源在于将DEX文件和APK文件拼接之后校验签名时只校验了文件的APK部分,而虚拟机执行时却执行了文件的DEX部分,导致了漏洞的发生。由于这种同时为APK文件和DEX文件的二元性,联想到罗马的二元之神Jan...
Android Janus漏洞修复
helin_wang的博客
11-03 1004
Android Janus漏洞修复## 标题 什么是Janus漏洞 自诞生以来,Android就要求开发者对应用进行签名。在应用进行更新时,只有更新包的签名与现有的app的签名一致的情况下,Android运行时才允许更新包安装到系统。若app被恶意的攻击者修改,重新打包签名,由于攻击者无法获得原始开发者的私钥,其重打包的签名与原始签名不一致,系统会拒绝安装此更新。这样可以保证每次的更新一定来...
安卓系统“Janus安全漏洞修复
yuanhui2015的博客
12-27 1769
安卓系统“Janus安全漏洞(CVE-2017-13156),所有运行于安卓5.0以上系统,仅采用安卓APK V1签名机制的APP受到影响。该漏洞可让攻击者在不改变APP开发者签名的情况下篡改APP程序、植入恶意代码,造成APP敏感数据泄露、手机远程控制等危害。
安卓漏洞学习(九):janus漏洞原理与利用
最新发布
beefreesky的博客
11-02 966
janus基本原理和利用方法
app客户端评估-janus 签名机制漏洞
m0_46490129的博客
07-31 373
该漏洞可以让攻击者绕过安卓系统的 signature scheme V1 签名机制,进而直接对 App 进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。有采用 V2 签名机制 V2 签名验证通过为 true 的情况下,无论 V1 签名验证通过是否为 true,都为无法风险。V1 签名验证通过为 true,V2 签名验证通过为 false 时,则该 APK 仅使用 V1 签名,存在风险。如果你想了解更多网络安全相关知识。作者 | 漏洞404。
Android安全检测 - Janus签名漏洞
qq_35993502的博客
02-05 7262
前言 这一章来说说Janus签名漏洞,网上关于这个漏洞的介绍几位详细,其中的原理均为其它地方进行摘录,那么我主要做的就是POC测试,在文章末尾也会给出相应的样本,当然样本就是自己做的,用真实的上线项目来做这个也不合适,想找真实的项目来练练手的话推荐找2017年12月之前的项目(学习可以,但不要在网上发布不当的东西) 一、漏洞原理 基本概述 Google在2017年12月份披露了一个名为“Janus”的安全漏洞(漏洞编号:CVE-2017-13156),该漏洞可以让攻击者绕过安卓的签名校验机制(signatu
Android签名漏洞
Crystal_lpx的专栏
01-09 1060
Android证书签名漏洞,是指攻击者可以在不改变原APK的签名情况下修改APK的代码,从而绕过Android的签名认证安全机制。通过植入恶意代码的到仿冒的App中,就可替代原有的App做下载、更新。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。
Android漏洞,安全,Janus签名漏洞实例,内涵样本app和工具
02-09
Android漏洞,安全,Janus签名漏洞实例,内涵样本app和工具
Janus漏洞(CVE-2017-13156)
公众号shadow sock7
08-19 734
Janus漏洞(CVE-2017-13156): 修改安卓app而不影响签名 https://note.youdao.com/web/#/file/recent/note/WEB237bd44984a9a6420ccb0806ac2f7573/
JanusAndroid:在 Android 上运行 Janus 服务器的 Android 应用程序
07-03
杰纳斯安卓 Janus Android 是一个 Android 应用程序,用于在 Android 上运行 Janus 服务器。 此应用程序使用原始 Janus 项目 ( ) 的 Android 移植,位于 https://github.com/tpiotrow/janusproject-Android 杰纳斯计划 Janus 是一个完全用 Java 1.7 实现的开源多代理平台。 Janus 使开发人员能够快速创建基于 Web、企业和桌面多代理的应用程序。 它提供了一套全面的功能来开发、运行、显示和监控基于多代理的应用程序。 基于 Janus 的应用程序可以分布在网络上。 Janus 可以用作面向代理的平台、组织平台和/或完整平台。 它还本地管理递归代理和完全子的概念。 Janus 由 Laboratoire Systèmes et Transports 和 Grupo de Inv
android 底层代码libcore部分
09-12
android 底层代码libcore部分
janus签名机制漏洞
qq_2790289459的博客
01-14 873
https://www.jianshu.com/p/5e35902cddb2 http://www.sohu.com/a/231875371_354899 解决方法: https://mp.youkuaiyun.com/postedit/103975990
Janus 签名机制漏洞
longlyboyhe的专栏
01-04 3630
什么时Janus 签名机制漏洞? 检测 App 程序是否存在 Janus 签名机制漏洞。 Google 披露了一个名为“Janus”的安卓漏洞(漏洞编号:CVE-2017- 13156),该漏洞可以让攻击者绕过安卓系统的 Signature scheme V1 签名 机制,用篡改过的 APK 覆盖原有的应用,并可访问原应用所有的数据,直接 对 App 进行篡改。 由于安卓系统的其他安全机制也是建立在签名和校验基础 上的,所以可以说该漏洞相当于绕过了安卓系统的整个安全机制。 该漏洞的影响范围? 安卓
“核弹级”Android漏洞Janus,黑客可以任意篡改App
顶象科技的技术文章
12-11 1806
一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场,就可替代原有的App,进行公开下载、更新。
独家分析:安卓“Janus”漏洞的产生原理及利用过程
jennycisp的博客
10-07 654
一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场,就可替代原有的App做下载、更新。网友安装这些仿冒App后,不仅会泄露个人账号、密码、照片、文件等隐私信息,手机更可能被植入木马病毒,进而或导致手机被ROOT,甚至被远程操控。详情可以参考及。在第一时间监测到“janus”漏洞的情况后,顶象技术及时更新了“安全SDK”的防御策略,并率先发布了针对该漏洞的防护方案,以帮助广大用户防范基于该漏洞的攻击威胁。
安卓“Janus”漏洞的产生原理及修复
明潮的BLOG
01-05 6854
Google在12月发布的安卓系统安全公告中披露了一个名为“Janus”安卓漏洞(漏洞编号:CVE-2017-13156)。该漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制,进而直接对App进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。   一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等
CVE-2017-13156 Janus漏洞复现 安卓签名漏洞分析
weixin_45853581的博客
09-29 464
求助帖!!!!!!!!!!!! 我用java合并新的dex和旧的apk得出一个新的apk,但在手机上安装时出现解析包错误! 用官方给的python合并,又出现代码错误,见下图! 跪求一个大佬!!!!救救孩子吧!!!!! ...
Android APP风险之Janus漏洞
HDZWo的博客
06-29 2730
Android APP仅使用V1签名,可能存在Janus漏洞(CVE-2017-13156),Janus漏洞(CVE-2017-13156)允许攻击者在不改变原签名的情况下任意修改APP中的代码逻辑,影响范围:Android系统5.1.1-8.0。下面为复现: 1、找到一个使用V1方式签名的Android APP。     最简单直接的判断APP签名方式的方法就是直接查看apk包中的META-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值