Android第三个签名漏洞#9950697分析

最新推荐文章于 2020-08-28 17:20:56 发布
最新推荐文章于 2020-08-28 17:20:56 发布
阅读量4.5k 收藏 2
点赞数
文章标签: Android漏洞分析
上周末Google发布了Android 4.4,随着一系列新功能包括安全措施的发布,我们也从AOSP的源码中看到了google悄悄修复了一个bug:
https://android.googlesource.com/platform/libcore/+/2da1bf57a6631f1cbd47cdd7692ba8743c993ad9%5E%21/#F0

 
 
从上图中可以看到,这个bug编号为9950697,bug存在于“filename 字段的长度在central directory和在local file entry里解析不一致”,而且这个bug早在7月23号就已经被修复:
 9950697_4
 
下面我们分析一下该漏洞的具体成因。我们在《Android第二个签名漏洞》一文中详细解释了APK包的文件结构。为了方便理解,我们至下往上把一个Zip文件分为:目录段、索引段、数据段。在索引段和数据段中,每一个ZipEntry的header里都存储了关于这个ZipEntry的信息,包括filename,CRC等。索引段和数据段中的这两份相同的信息,用来做Zip文件的完整性检验。
 
Android在校验签名时,解析Apk包用的是java代码(ZipFile.java和ZipEntry.java),而在安装apk时,包括解压、dexopt等,用的是c代码(ZipArchive.cpp),这两份代码在解析ZipEntry时的步骤都是先从索引段读取ZipEntry的信息,然后定位到数据段。
 
数据段中的ZipEntry的Data[]字段是用来存放真正的压缩数据的。Java和c定位到Data[]字段的方法都是根据Data[]字段之前的字段的长度计算偏移:
 
Data[]的偏移 = ZipEntry的偏移 + 固定header的长度 + extraFieldLength + fileNameLength
 
我们在之前的文章中讨论过针对索引段的extraField和comment的攻击,这次轮到了fileName。Java使用的fileNameLength是从索引段的ZipEntry获得的,而C则是从数据段的ZipEntry获得的,所以就这里造成了不一致性,导致java和c定位到的data[]不一致。因此可以在数据段的ZipEntry中构造一个不一样的fileNameLength,进而让java校验签名时读取的是合法的文件,而c在安装是读取的是恶意的文件,绕过签名验证。

 
 
攻击模型:
 
 
不过需要注意的是,由于fileNameLength这个字段的类型是一个无符号short,最大值为64K,所以为了能让C代码成功能跳转到fake classes.dex,必须要求 real classes.dex加上“classes.dex”字符串的长度小于64k。也就是说,对这个漏洞的利用要求被绕过的原始正常文件的大小必须小于64k,这对这个漏洞的利用带来了很大的限制,所以实际的危害并不很大。

Jack_Jia
关注
学习Android三个签名漏洞
dxymoon的专栏
05-20 1003
主要是想记录下自己学习的
Android“FakeID”签名漏洞分析和利用
android_squad的专栏
12-01 4049
转自CSDN《程序员杂志》         作者:火点,三金 7月30号,新闻又爆出Bluebox安全研究团队发布的安卓新的签名漏洞 “假 ID”,除了最新的4.4版本,几乎所有安卓设备都有此漏洞,本文通过技术分析漏洞细节,发现竟然能制作盗版支付宝,绕开360手机卫士的病毒查杀和支付保镖检测。 爆出漏洞 7月30号,Bluebox安全研究团队又对外纰漏新的签名漏洞,这是自去年轰动
Android签名漏洞分析
u013234805的专栏
04-30 1384
Android签名在理论上可以防止别人破坏了软件后(例如加入恶意代码)还能以你的名义发布。但是Android签名机制最近接连暴露了两个漏洞,导致整个签名机制形同虚设。 第一个漏洞是由国外的安全公司 Bluebox Security发现的,这个漏洞Android 1.6以来就一直存在,号称对 99% 的android设备造成影响。恶意软件制作者可以在不破坏原有APK签名的前提下,利
Android 第二个签名漏洞 #9695860 揭秘
birdman2005的专栏
11-21 1053
Android 第二个签名漏洞 #9695860 揭秘 时间:2013/10/28   作者:周荣誉 在android master key (#8219321)签名漏洞爆出来不久,国内的安全团队“安卓安全小分队”在其博客(http://blog.sina.com.cn/u/3194858670)发布文章称发现另外一个android签名漏洞,但是小分队提出的利用该漏洞
“核弹级”Android漏洞Janus,黑客可以任意篡改App
顶象科技的技术文章
12-11 1753
一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场,就可替代原有的App,进行公开下载、更新。
手动打造apk利用ANDROID-8219321漏洞(Master Key)绕过android签名校验
大星星的专栏
08-30 7021
测试apk: 安卓读书 Ver:3.8.28(1236) Package:com.jiasoft.swreader 下载地址: http://gdown.baidu.com/data/wisegame/baeae6c8115d22fa/anzhuodushu_1236.apk 分析过程: 反编译目标apk,查看AndroidManifest.xml:
android客户端签名漏洞
10-30
通过上述分析,我们可以看到Android客户端签名漏洞及其衍生的Skullkey扣费木马对用户和行业造成了严重影响。因此,无论是开发者、应用商店还是终端用户,都应加强安全意识,共同构建更加安全可靠的移动互联网环境。
详解Android“假ID”签名漏洞.pdf
09-22
Google在Android 4.4中修复了这个签名漏洞,但这个修复并不简单,因为它涉及到复杂的加密技术和证书验证机制。修复后的系统能够在验证安装包完整性的同时,也能识别出伪造的证书。 了解这个漏洞的关键在于理解数字...
Android中zip解压漏洞分析
08-04
Android中,系统会使用内置的库或者第三方库(如Zlib和Apache Commons Compress)来处理zip文件。当解压包含特定属性的zip文件时,如果处理不当,可能会触发漏洞。例如,某些库在处理相对路径溢出(Relative Path ...
Android签名验证漏洞POC及验证
weixin_34403693的博客
07-09 234
poc实际上就是一段漏洞利用代码,以下是最近炒得很火Android签名验证漏洞POC,来自https://gist.github.com/poliva/36b0795ab79ad6f14fd8 1 #!/bin/bash 2 # PoC for Android bug 8219321 by @pof 3 # +info: https://jira.cyanogenmod.org...
android 签名漏洞
成长的路途
08-03 651
看雪首发 地址:http://bbs.pediy.com/showthread.php?p=1305675#post1305675 顺便贴一个新闻地址
MasterKey ZipBug9950697
wigan2011的专栏
11-20 607
Yet Another Android Master Key Bug Earlier this year, Bluebox Security announced they had found a bug in the way Android verifies that application packages have not been tampered with by third-pa
“Janus” 安卓系统签名漏洞(CVE-2017-13156)
Peter 的博客
03-20 3429
影响范围: 1、所有Android 5.0以上系统 2、所有仅采用了Android APK Signature Scheme V1 签名机制的App Janus漏洞原理 Janus漏洞产生的根源在于将DEX文件和APK文件拼接之后校验签名时只校验了文件的APK部分,而虚拟机执行时却执行了文件的DEX部分,导致了漏洞的发生。由于这种同时为APK文件和DEX文件的二元性,联想到罗马的二元之神Jan...
Android 应用签名机制介绍以及V1签名机制漏洞介绍
heppyshow_myself的博客
08-28 1946
APK签名的作用 在安装Apk时,需要确保Apk来源的真实性,以及Apk没有被第三方篡改。如何解决这两个问题呢?方法就是开发者对Apk进行签名。什么叫做签名呢,签名就是在Apk中写入一个“指纹”。指纹写入以后,Apk中如果有任何修改,都会导致这个指纹无效,Android系统在安装Apk进行签名校验时就会不通过,从而保证了安全性。 APK格式介绍 Apk文件本质上就是一个zip文件, zip文件整体是由三个部分组成,分别是数据区,中央目录区以及中央目录结尾记录。 1.数据区(Contents o.
android几个漏洞
大星星的专栏
07-22 2533
1、apk伪加密 读取APK的字节,找到连续4位字节标记为”P K 01 02”的后第5位字节,如果是偶数表示不加密,如果是奇数就表示加密。 mod之后的压缩包: 解压缩要求输入密码: 文件解密不出来 防解压防反编译 应用限制: 4.2之前。 2、apk压缩文件被破坏 APK在PC上面可以
Android APK命令行实现V1、V2签名及验证
IT老五
03-05 5558
AndroidStudio中,我们可以很方便的对apk进行打包与签名,也可以选择V1或V2签名;然而,有些时候(比如反编译重新打包、apk加固后...),我们却需要在AS以外进行签名AndroidAndroid7.0引入了jdk7才支持的V2签名,这一签名不需要对所有文件进行摘要计算、且增加了APK 签名分块并且该分块有特定格式,...
一篇文章看明白 Android v1 & v2 签名机制
热门推荐
jeanboy
12-06 2万+
Android - v1 & v2 签名机制 一、什么是签名? 要想知道签名是什么,先来看为什么需要签名 ? 了解 HTTPS 通信的同学应该知道,在消息通信时,必须至少解决两个问题:一是确保消息来源的真实性,二是确保消息不会被第三方篡改。在安装 APK 时,同样需要确保 APK 来源的真实性,以及 APK 没有被第三方篡改。如何解决这两个问题呢?方法就是开发者对 APK 进行签名:在 A...
Linux中unzip解压出现乱码,mismatching "local" filename和continuing with "central" filename version
学习达人的日记本
10-17 1万+
Linux中unzip解压出现mismatching "local" filename和continuing with "central" filename version,是中文乱码问题,压缩文件中有中文命名的文件,解压出来就出现了乱码, 解决方法:指定解压的文件格式:unzip -qO UTF-8 front.zip ,指定为utf-8格式,也可以指定为其他格式,就不会出现乱码了
提升Android应用安全:第三方库深度检测与威胁分析框架
本文档深入探讨了一种面向Android应用第三方库的安全性分析框架。随着Android应用的日益普及,第三方库的广泛使用增加了应用程序的安全风险,因为它们可能会引入未知漏洞。研究者针对这一问题,选择了国内五大知名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值