检测Android是否存在Janus漏洞

最新推荐文章于 2024-04-07 14:35:30 发布
最新推荐文章于 2024-04-07 14:35:30 发布
阅读量590 收藏
点赞数
文章标签: 移动开发 java
原文链接:http://www.cnblogs.com/mysticbinary/articles/10531861.html
版权

目录

Janus说明

Android APP仅使用V1签名,可能存在Janus漏洞(CVE-2017-13156),Janus漏洞(CVE-2017-13156)允许攻击者在不改变原签名的情况下任意修改APP中的代码逻辑。
影响范围:Android系统5.1.1 - 8.0

检测方式

1. 使用工具

GetApkInfo.jar (github已开源)

打开cmd,输入命令

java -jar GetApkInfo.jar路径  apk路径

1552062-20190314174637523-496455121.png

结果确认:
V2签名为false,说明存在janus漏洞。

2. 把APK改成zip解压

把包中的META-INF文件夹下的*.SF文件打开

1552062-20190327145125632-1934699914.png
左边是只使用了V1,右边是V1+V2


漏洞利用

待续...


修复

有条件的情况下,尽量使用V1+V2的签名方式。
Androidstudio3.0以上的版本打包签名都是V2方式了,具体的安全性还要评估。

转载于:https://www.cnblogs.com/mysticbinary/articles/10531861.html

weixin_30267691
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android APP风险之Janus漏洞
HDZWo的博客
06-29 2648
Android APP仅使用V1签名,可能存在Janus漏洞(CVE-2017-13156),Janus漏洞(CVE-2017-13156)允许攻击者在不改变原签名的情况下任意修改APP中的代码逻辑,影响范围:Android系统5.1.1-8.0。下面为复现: 1、找到一个使用V1方式签名Android APP。     最简单直接的判断APP签名方式的方法就是直接查看apk包中的META-...
Janus” 安卓系统签名漏洞(CVE-2017-13156)
Peter 的博客
03-20 3420
影响范围: 1、所有Android 5.0以上系统 2、所有仅采用了Android APK Signature Scheme V1 签名机制App Janus漏洞原理 Janus漏洞产生的根源在于将DEX文件和APK文件拼接之后校验签名时只校验了文件的APK部分,而虚拟机执行时却执行了文件的DEX部分,导致了漏洞的发生。由于这种同时为APK文件和DEX文件的二元性,联想到罗马的二元之神Jan...
Janus 签名机制漏洞
longlyboyhe的专栏
01-04 3505
什么时Janus 签名机制漏洞检测 App 程序是否存在 Janus 签名机制漏洞。 Google 披露了一个名为“Janus”的安卓漏洞漏洞编号:CVE-2017- 13156),该漏洞可以让攻击者绕过安卓系统的 Signature scheme V1 签名 机制,用篡改过的 APK 覆盖原有的应用,并可访问原应用所有的数据,直接 对 App 进行篡改。 由于安卓系统的其他安全机制也是建立在签名和校验基础 上的,所以可以说该漏洞相当于绕过了安卓系统的整个安全机制。 该漏洞的影响范围? 安卓
Janus 二元神漏洞测试
weixin_34217711的博客
12-25 210
同步发表于:http://blog.hacktons.cn/2017/12/25/janus-demo/ 背景 12月9号,Andorid对外曝光了一个名为Janus的重量级系统漏洞CVE-2017-13156), 由安全研究公司Guard Square发现。 Janus原意是神话中的二元身,用于描述这个漏洞还真是贴切。 整个漏洞其实建立在文件校验规则之上: 一个文件即是APK,又是DEX,...
Android安全检测 - Janus签名漏洞
qq_35993502的博客
02-05 6917
前言 这一章来说说Janus签名漏洞,网上关于这个漏洞的介绍几位详细,其中的原理均为其它地方进行摘录,那么我主要做的就是POC测试,在文章末尾也会给出相应的样本,当然样本就是自己做的,用真实的上线项目来做这个也不合适,想找真实的项目来练练手的话推荐找2017年12月之前的项目(学习可以,但不要在网上发布不当的东西) 一、漏洞原理 基本概述 Google在2017年12月份披露了一个名为“Janus”的安全漏洞漏洞编号:CVE-2017-13156),该漏洞可以让攻击者绕过安卓的签名校验机制(signatu
关于eclipse进行Janus漏洞修复
叫我匪爷吧
12-26 1016
Eclipes Janus漏洞修复本文针对Eclipse Janus漏洞修复提供一些方法: Janus漏洞的危害 Janus漏洞的修复 如何查看apk文件是否存在Jauns漏洞 Janus漏洞的危害-网上信息很多,这里不再赘述Janus漏洞的修复-根据开发工具的不同而使用不同的方法 Android studio : 可以直接在打包apk时选择v1+v2的打包方式即可Eclipse:因为eclips
Android漏洞,安全,Janus签名漏洞实例,内涵样本app和工具
02-09
Janus漏洞的发现揭示了这种签名验证的局限性,使得恶意开发者有机会植入恶意代码,用户却无法通过签名检查来识别。 Janus.jar文件可能是用来演示或利用此漏洞的工具,可能包含了用于分离、修改和重新打包DEX文件的...
Android签名漏洞_apk签名校验漏洞,80后程序员感慨中年危机
最新发布
2201_75604580的博客
04-07 389
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Android应用安全检测项目
苛学加记事
07-08 6909
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
Android漏洞与安全总结
u012523122的专栏
02-27 7386
一.Activity 漏洞 越权绕过漏洞 原理:        没有对调用activity的组件进行权限验证,就会造成验证的安全问题。 防护: 1.      私有activity是相对安全的,设置exported为false。 2.      公开activity应:谨慎处理接收的intent;返回数据不应包含敏感信息;不应发送敏感信息;收到返回数据时谨慎处理。   钓鱼欺诈劫...
OWASP Mantra Janus渗透测试专用浏览器
07-13
这是OWASP出品的渗透测试专用浏览器,集成了常用的很多工具
检测网站是否存在OpenSSL漏洞的测试脚本
05-16
检测网站是否存在OpenSSL漏洞的测试脚本
安卓“Janus漏洞的产生原理及修复
明潮的BLOG
01-05 6538
Google在12月发布的安卓系统安全公告中披露了一个名为“Janus”安卓漏洞漏洞编号:CVE-2017-13156)。该漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制,进而直接对App进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。   一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等
CVE-2017-13156 Janus漏洞复现 安卓签名漏洞分析
weixin_45853581的博客
09-29 411
求助帖!!!!!!!!!!!! 我用java合并新的dex和旧的apk得出一个新的apk,但在手机上安装时出现解析包错误! 用官方给的python合并,又出现代码错误,见下图! 跪求一个大佬!!!!救救孩子吧!!!!! ...
CVE-2017-13156 Janus高危漏洞深度分析
Tomes.V.White
04-26 1976
转载自:https://bbs.pediy.com/thread-223539.htm一、背景介绍近日,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许恶意攻击者任意修改Android应用中的代码,而不会影响其签名。众所周知,Android具有签名机制。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改...
app客户端评估-janus 签名机制漏洞
m0_46490129的博客
07-31 306
漏洞可以让攻击者绕过安卓系统的 signature scheme V1 签名机制,进而直接对 App 进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。有采用 V2 签名机制 V2 签名验证通过为 true 的情况下,无论 V1 签名验证通过是否为 true,都为无法风险。V1 签名验证通过为 true,V2 签名验证通过为 false 时,则该 APK 仅使用 V1 签名存在风险。如果你想了解更多网络安全相关知识。作者 | 漏洞404。
AndroidJanus”安全漏洞及其规避方案
xrong1118的博客
12-12 871
一、 漏洞说明 2017年12月, Google发布 “Janus”安卓漏洞(CVE-2017-13156)。该漏洞可以让攻击者绕过Android系统的签名机制,在不改变开发者签名的情况下对APP进行篡改。 在Android 5.0到8.0系统中,所有基于signature scheme V1签名机制App均受“Janus漏洞影响。仅基于signature scheme V2签名APP在An...
Android Apk安全检测Janus漏洞
wxz的博客
10-22 698
Android安全检测Janus漏洞
安卓系统“Janus”安全漏洞修复
yuanhui2015的博客
12-27 1591
安卓系统“Janus”安全漏洞(CVE-2017-13156),所有运行于安卓5.0以上系统,仅采用安卓APK V1签名机制APP受到影响。该漏洞可让攻击者在不改变APP开发者签名的情况下篡改APP程序、植入恶意代码,造成APP敏感数据泄露、手机远程控制等危害。
Android 'Janus'漏洞详解与防范措施
"Android 'Janus'安全漏洞及如何避免" Android "Janus"安全漏洞,又称为CVE-2017-13156,是2017年12月Google公布的一个严重安全问题,它涉及Android系统的签名机制Janus漏洞允许恶意攻击者在不更改开发者签名的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值