安卓系统“Janus”安全漏洞修复

最新推荐文章于 2023-07-31 14:43:29 发布
最新推荐文章于 2023-07-31 14:43:29 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: android 文章标签: Janus-安全漏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanhui2015/article/details/78909132
版权

        安卓系统“Janus”安全漏洞(CVE-2017-13156),所有运行于安卓5.0以上系统,仅采用安卓APK V1签名机制的APP受到影响。该漏洞可让攻击者在不改变APP开发者签名的情况下篡改APP程序、植入恶意代码,造成APP敏感数据泄露、手机远程控制等危害。
        网上关于安卓系统“Janus”安全漏洞有太多的讲解和方法的处理,再这里我就不再过多的赘述了。上面段落的主要核心就一点:不能只使用安卓APK V1签名机制打包签名apk。这边文章主要记录一下我在项目中处理这个问题的时候遇到的一些问题和解决方法。

一、处理过程

  1. 检验apk的签名机制:使用漏洞核查工具GetApkInfo.jar(网上可下载)
    <1>使用命令java -jar GetApkInfo.jar *.apk查看APK信息及签名版本;
    <2>结果说明:
    ①若“V1签名验证通过”为true,则该APK使用V1签名,反之没有;
    ②若“V2签名验证通过”为true,则该APK使用V2签名,反之没有;
    ③若“V1签名验证通过”和“V2签名验证通过”均显示为true,则该应用同时使用V1+V2签名。

  2. 若上述结果显示V2签名验证通过,则说明你的app是安全的;反之,重新打包签名,必须含有V2签名机制。

二、处理过程中遇到的问题
        由于我们的项目要求防反编译,因而采用了360加固助手对项目进行加固并且加固时采用的自动签名的方式。因而造成无论打包时采用的时何种签名机制, V2签名验证均不通过。对比加固前后的两种情况,加固前V2签名验证通过,加固后则验证不通过。
        猜测原因:加固助手在加固并自动签名过程中破坏了原有的签名
        处理方式:取消360加固助手的自动签名,在应用加固后手动采用360的签名方式签名,签名采用V2签名机制签名。
        验证:V1、V2验证通过。(打包时采用的时V1+V2的签名机制)

三、注意事项
        (1)GetApkInfo.jar和apk放在同级目录下
        (2)不能放在有中文的目录下(桌面也不行)
        (3)使用命令前应先进入jar和apk的当前目录
        (4)“漏洞核查工具与方法”这个工具,本机要安装jdk 8以上才能使用
        (5)兼容性问题:v2签名是5.0以上才支持<待验证>
        (6)打包时采用v1+v2签名模式,使用360加固助手加固时,不能使用自动签名,先加固再手动签名,签名时采用v2签名。
        (7)加固签名后的app需要使用漏洞核查工具GetApkInfo.jar检测两种签名是否都通过了,确保安全性与准确性。

最后附上360加固助手对于这次安全漏洞的解决方法:360加固保紧急上线针对“Janus”安卓漏洞的解决方案

yuanhui2015
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android漏洞安全总结
u012523122的专栏
02-27 7386
一.Activity 漏洞 越权绕过漏洞 原理:        没有对调用activity的组件进行权限验证,就会造成验证的安全问题。 防护: 1.      私有activity是相对安全的,设置exported为false。 2.      公开activity应:谨慎处理接收的intent;返回数据不应包含敏感信息;不应发送敏感信息;收到返回数据时谨慎处理。   钓鱼欺诈劫...
Android应用安全解决方案
Android技术之家
04-03 1399
前言 防止第三方反编译篡改应用,防止数据隐私泄露,防止二次打包欺骗用户。1、一些必要的基础知识 我们在加密的时候会用到一些加密或者编码方法。常见的有,非对称加密算法 RSA 等;对称加密算法 DES、3DES 和 AES 等;不可逆的加密 MD5、SHA256 等。另外,我们会把重要的加密逻辑放到 Native 层来实现,所以一些 JNI 编程的方法也是需要的。不...
安卓janus漏洞检测工具
02-02
漏洞可以让攻击者绕过安卓系统的签名机制,在不改变开发者签名的情况下对APP进行篡改。在安卓5.0到8.0系统中,所有基于signature scheme V1签名机制的App均受“Janus漏洞影响。 仅基于signature scheme V2签名的APP在安卓7.0及以上版本系统中不受影响 “Janus漏洞只针对于安卓5.0-8.0系统下、基于signature scheme V1签名机制的App,使用了Siginature scheme V2签名机制的App不受影响。此外,Google最新版的安卓系统也已经修复了该漏洞。 命令: java -jar CheckAndroidSignature.jar xxx.apk
Janus漏洞(CVE-2017-13156)
公众号shadow sock7
08-19 682
Janus漏洞(CVE-2017-13156): 修改安卓app而不影响签名 https://note.youdao.com/web/#/file/recent/note/WEB237bd44984a9a6420ccb0806ac2f7573/
关于eclipse进行Janus漏洞修复
叫我匪爷吧
12-26 1016
Eclipes Janus漏洞修复本文针对Eclipse Janus漏洞修复提供一些方法Janus漏洞的危害 Janus漏洞修复 如何查看apk文件是否存在Jauns漏洞 Janus漏洞的危害-网上信息很多,这里不再赘述Janus漏洞修复-根据开发工具的不同而使用不同的方法 Android studio : 可以直接在打包apk时选择v1+v2的打包方式即可Eclipse:因为eclips
Android Janus漏洞修复
helin_wang的博客
11-03 923
Android Janus漏洞修复## 标题 什么是Janus漏洞 自诞生以来,Android就要求开发者对应用进行签名。在应用进行更新时,只有更新包的签名与现有的app的签名一致的情况下,Android运行时才允许更新包安装到系统。若app被恶意的攻击者修改,重新打包签名,由于攻击者无法获得原始开发者的私钥,其重打包的签名与原始签名不一致,系统会拒绝安装此更新。这样可以保证每次的更新一定来...
安卓Janus漏洞的产生原理及修复
明潮的BLOG
01-05 6538
Google在12月发布的安卓系统安全公告中披露了一个名为“Janus安卓漏洞漏洞编号:CVE-2017-13156)。该漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制,进而直接对App进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。   一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等
Android漏洞安全Janus签名漏洞实例,内涵样本app和工具
02-09
Janus签名漏洞,就是一种针对Android应用签名机制的攻击方式,它允许恶意开发者篡改已签名的应用,而不破坏其签名,从而绕过系统安全检查。这个主题涉及到Android的安全性、签名机制以及漏洞利用技术。 首先,...
代号“Janus漏洞(CVE-2017-13156)验证1
08-08
"Janus"漏洞,全称为CVE-2017-13156,是针对Android系统的重大安全漏洞,尤其影响使用Signature Scheme V1签名的APP APK文件。此漏洞主要出现在Android 5.0到8.0之间,由于Android ART(Android RunTime)虚拟机的...
Janus exploit in android 7.0
最新发布
01-01
然而,随着新功能的增加,系统复杂性也随之提升,为安全漏洞的出现提供了可能。Janus 漏洞就是这种复杂性的一个体现,它允许攻击者通过恶意构造的多媒体文件,比如 MP4 或 3GP 视频,来触发远程代码执行。 Janus ...
JanusAndroid:在 Android 上运行 Janus 服务器的 Android 应用程序
07-03
杰纳斯安卓 Janus Android 是一个 Android 应用程序,用于在 Android 上运行 Janus 服务器。 此应用程序使用原始 Janus 项目 ( ) 的 Android 移植,位于 https://github.com/tpiotrow/janusproject-Android 杰纳斯计划 Janus 是一个完全用 Java 1.7 实现的开源多代理平台。 Janus 使开发人员能够快速创建基于 Web、企业和桌面多代理的应用程序。 它提供了一套全面的功能来开发、运行、显示和监控基于多代理的应用程序。 基于 Janus 的应用程序可以分布在网络上。 Janus 可以用作面向代理的平台、组织平台和/或完整平台。 它还本地管理递归代理和完全子的概念。 Janus 由 Laboratoire Systèmes et Transports 和 Grupo de Inv
OWASP Mantra Janus渗透测试专用浏览器【集成多种常用工具】
08-14
这是OWASP出品的渗透测试专用浏览器,集成了常用的很多工具
OWASP Mantra Janus渗透测试专用浏览器
07-13
这是OWASP出品的渗透测试专用浏览器,集成了常用的很多工具
android漏洞修复工具,Android修复MediaTek-SU漏洞
weixin_42717586的博客
05-27 302
导读在 2020 年 3 月的安全公告中,其指出了一个存在长达一年的 CVE-2020-0069 安全漏洞。XDA-Developers 在本周的一份报告中写到,早在 2019 年 4 月,他们就已经知晓了此事。谷歌今日重申了让 Android 智能机保持最新的安全更新的重要性,使用基于联发科芯片方案的设备用户更应提高警惕。在 2020 年 3 月的安全公告中,其指出了一个存在长达一年的 CVE-...
Android安全检测 - Janus签名漏洞
qq_35993502的博客
02-05 6917
前言 这一章来说说Janus签名漏洞,网上关于这个漏洞的介绍几位详细,其中的原理均为其它地方进行摘录,那么我主要做的就是POC测试,在文章末尾也会给出相应的样本,当然样本就是自己做的,用真实的上线项目来做这个也不合适,想找真实的项目来练练手的话推荐找2017年12月之前的项目(学习可以,但不要在网上发布不当的东西) 一、漏洞原理 基本概述 Google在2017年12月份披露了一个名为“Janus”的安全漏洞漏洞编号:CVE-2017-13156),该漏洞可以让攻击者绕过安卓的签名校验机制(signatu
独家分析:安卓Janus漏洞的产生原理及利用过程
顶象科技的技术文章
12-11 4089
本文对该漏洞进行了详细的技术分析、影响范围及解决办法。
Janus工具介绍
qq_40398985的博客
12-17 821
Janus工具介绍 记录时间:2019.12.6。这一次偷懒就直接对着上课写的PPT讲了,仅供参考。 github: https://github.com/sslab-gatech/janus https://taesoo.kim/pubs/2019/xu:janus-slides.pdf 1.硬编码:文件路径来生成随机的系统调用,即类似于path=”/bin/sh”的类型,将数据直接嵌入到程...
app客户端评估-janus 签名机制漏洞
m0_46490129的博客
07-31 306
漏洞可以让攻击者绕过安卓系统的 signature scheme V1 签名机制,进而直接对 App 进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。有采用 V2 签名机制 V2 签名验证通过为 true 的情况下,无论 V1 签名验证通过是否为 true,都为无法风险。V1 签名验证通过为 true,V2 签名验证通过为 false 时,则该 APK 仅使用 V1 签名,存在风险。如果你想了解更多网络安全相关知识。作者 | 漏洞404。
Android 'Janus'漏洞详解与防范措施
Android "Janus"安全漏洞,又称为CVE-2017-13156,是2017年12月Google公布的一个严重安全问题,它涉及Android系统的签名机制。Janus漏洞允许恶意攻击者在不更改开发者签名的情况下对应用程序(APP)进行篡改,这使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值