Janus说明
Android APP仅使用V1签名,可能存在Janus漏洞(CVE-2017-13156),Janus漏洞(CVE-2017-13156)允许攻击者在不改变原签名的情况下任意修改APP中的代码逻辑。
影响范围:Android系统5.1.1 - 8.0
检测方式
1. 使用工具
GetApkInfo.jar (github已开源)
打开cmd,输入命令
java -jar GetApkInfo.jar路径 apk路径
结果确认:
V2签名为false,说明存在janus漏洞。
2. 把APK改成zip解压
把包中的META-INF文件夹下的*.SF文件打开
左边是只使用了V1,右边是V1+V2
漏洞利用
待续...
修复
有条件的情况下,尽量使用V1+V2的签名方式。
Androidstudio3.0以上的版本打包签名都是V2方式了,具体的安全性还要评估。