安卓系统“Janus”安全漏洞(CVE-2017-13156),所有运行于安卓5.0以上系统,仅采用安卓APK V1签名机制的APP受到影响。该漏洞可让攻击者在不改变APP开发者签名的情况下篡改APP程序、植入恶意代码,造成APP敏感数据泄露、手机远程控制等危害。
网上关于安卓系统“Janus”安全漏洞有太多的讲解和方法的处理,再这里我就不再过多的赘述了。上面段落的主要核心就一点:不能只使用安卓APK V1签名机制打包签名apk。这边文章主要记录一下我在项目中处理这个问题的时候遇到的一些问题和解决方法。
一、处理过程
检验apk的签名机制:使用漏洞核查工具GetApkInfo.jar(网上可下载)
<1>使用命令java -jar GetApkInfo.jar *.apk查看APK信息及签名版本;
<2>结果说明:
①若“V1签名验证通过”为true,则该APK使用V1签名,反之没有;
②若“V2签名验证通过”为true,则该APK使用V2签名,反之没有;
③若“V1签名验证通过”和“V2签名验证通过”均显示为true,则该应用同时使用V1+V2签名。若上述结果显示V2签名验证通过,则说明你的app是安全的;反之,重新打包签名,必须含有V2签名机制。
二、处理过程中遇到的问题
由于我们的项目要求防反编译,因而采用了360加固助手对项目进行加固并且加固时采用的自动签名的方式。因而造成无论打包时采用的时何种签名机制, V2签名验证均不通过。对比加固前后的两种情况,加固前V2签名验证通过,加固后则验证不通过。
猜测原因:加固助手在加固并自动签名过程中破坏了原有的签名
处理方式:取消360加固助手的自动签名,在应用加固后手动采用360的签名方式签名,签名采用V2签名机制签名。
验证:V1、V2验证通过。(打包时采用的时V1+V2的签名机制)
三、注意事项
(1)GetApkInfo.jar和apk放在同级目录下
(2)不能放在有中文的目录下(桌面也不行)
(3)使用命令前应先进入jar和apk的当前目录
(4)“漏洞核查工具与方法”这个工具,本机要安装jdk 8以上才能使用
(5)兼容性问题:v2签名是5.0以上才支持<待验证>
(6)打包时采用v1+v2签名模式,使用360加固助手加固时,不能使用自动签名,先加固再手动签名,签名时采用v2签名。
(7)加固签名后的app需要使用漏洞核查工具GetApkInfo.jar检测两种签名是否都通过了,确保安全性与准确性。
最后附上360加固助手对于这次安全漏洞的解决方法:360加固保紧急上线针对“Janus”安卓漏洞的解决方案
扫一扫
7392
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
