Android签名漏洞

原创 已于 2024-01-09 15:39:17 修改 · 1.2k 阅读 · 24
标签
#android #证书 #签名 #漏洞
于 2024-01-09 15:38:26 首次发布
本文详细阐述了Android中的签名漏洞,包括MasterKey漏洞如何利用ZIP文件结构绕过签名验证,Janus漏洞如何利用DEXAPK绕过签名校验,以及Google签名认证体系的发展。重点讲解了不同版本的签名方案和应对策略。

1. 什么是签名漏洞

        Android证书签名漏洞,是指攻击者可以在不改变原APK的签名情况下修改APK的代码,从而绕过Android的签名认证安全机制。通过植入恶意代码的到仿冒的App中,就可替代原有的App做下载、更新。

        正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。

2. MasterKey漏洞

2.1. 背景

        这个漏洞是由国外的一家安全公司Bluebox Security在2013年7月初揭露的,这个漏洞自Android1.6版本就一直存在,漏洞的覆盖范围达到99%。

2.2. 影响范围

       理论上会影响2013年5月以前的android系统,大概是4.3之前的android,大概可以控制95%以上的Android手机。

2.2. 原理

该漏洞位于luni/src/main/java/java/util/zip/ZipFile.java目录下,具体的漏洞点如下:

for (int i = 0 ; i < numEntries; ++i)

{

        ZipEntry newEntry = new ZipEntry (hdrBrf , bin) ;

最低0.47元/天 解锁文章
Android master key漏洞
宇强的一亩三分地
12-15 9128
我也来说说android master key 漏洞,官方称为ANDROID-8219321。 先是在看雪上看到android master key的漏洞,这个号称可以控制95%以上的 android手机(理论上会影响2013年5月以前的android系统,大概是4.3之前的android)。So crazy!不得了,赶紧研究一下。主要参考了以下文章: http://bbs.pediy.co
“Janus” 安卓系统签名漏洞(CVE-2017-13156)
Peter 的博客
03-20 3793
影响范围: 1、所有Android 5.0以上系统 2、所有仅采用了Android APK Signature Scheme V1 签名机制的App Janus漏洞原理 Janus漏洞产生的根源在于将DEX文件和APK文件拼接之后校验签名时只校验了文件的APK部分,而虚拟机执行时却执行了文件的DEX部分,导致了漏洞的发生。由于这种同时为APK文件和DEX文件的二元性,联想到罗马的二元之神Jan...
安卓漏洞学习(九):janus漏洞原理与利用
beefreesky的博客
11-02 1338
janus基本原理和利用方法
Android安全检测 - Janus签名漏洞
qq_35993502的博客
02-05 7591
前言 这一章来说说Janus签名漏洞,网上关于这个漏洞的介绍几位详细,其中的原理均为其它地方进行摘录,那么我主要做的就是POC测试,在文章末尾也会给出相应的样本,当然样本就是自己做的,用真实的上线项目来做这个也不合适,想找真实的项目来练练手的话推荐找2017年12月之前的项目(学习可以,但不要在网上发布不当的东西) 一、漏洞原理 基本概述 Google在2017年12月份披露了一个名为“Janus”的安全漏洞漏洞编号:CVE-2017-13156),该漏洞可以让攻击者绕过安卓的签名校验机制(signatu
独家分析:安卓“Janus”漏洞的产生原理及利用过程
jennycisp的博客
10-07 879
一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场,就可替代原有的App做下载、更新。网友安装这些仿冒App后,不仅会泄露个人账号、密码、照片、文件等隐私信息,手机更可能被植入木马病毒,进而或导致手机被ROOT,甚至被远程操控。详情可以参考及。在第一时间监测到“janus”漏洞的情况后,顶象技术及时更新了“安全SDK”的防御策略,并率先发布了针对该漏洞的防护方案,以帮助广大用户防范基于该漏洞的攻击威胁。
Android 签名漏洞Janus
qq_33209777的博客
11-15 1444
美国时间12月9日,Google披露了一个名为“Janus”安卓漏洞。该漏洞可以让攻击者绕过安卓签名机制,从而让攻击者对App进行篡改,安卓5.0到8.0等个版本系统均受影响。 顶象安全专家提醒广大安卓用户,尽快升级到最新版安卓系统,并到App官方网站下载或更新App。同时,建议开发者将App APK(安装包)升级为V2签名机制,或者为App配置上顶象技术的安全SDK,以防范该漏洞带来的威胁。 这是一个“核弹”级的安全漏洞 “Janus”漏洞是Google在12月发布的安卓系统的安全公告中披露的,由移
Android签名漏洞分析
u013234805的专栏
04-30 1504
Android签名在理论上可以防止别人破坏了软件后(例如加入恶意代码)还能以你的名义发布。但是Android签名机制最近接连暴露了两个漏洞,导致整个签名机制形同虚设。 第一个漏洞是由国外的安全公司 Bluebox Security发现的,这个漏洞Android 1.6以来就一直存在,号称对 99% 的android设备造成影响。恶意软件制作者可以在不破坏原有APK签名的前提下,利
2024年Android最全Android签名漏洞_apk签名校验漏洞(1),在线面试app
2401_84562962的博客
05-14 1376
我的面试经验分享可能不会去罗列太多的具体题目,因为我依然认为面试经验中最宝贵的不是那一个个具体的题目或者具体的答案,而是结束面试时,那一刻你的感受以及多天之后你的回味~很多人在刚接触这个行业的时候或者是在遇到瓶颈期的时候,总会遇到一些问题,比如学了一段时间感觉没有方向感,不知道该从那里入手去学习,对此我整理了一些资料,需要的可以免费分享给大家在这里小编分享一份自己收录整理上述技术体系图相关的几十套腾讯、头条、阿里、美团等公司的面试题,把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含。
app客户端评估-janus 签名机制漏洞
m0_46490129的博客
07-31 492
漏洞可以让攻击者绕过安卓系统的 signature scheme V1 签名机制,进而直接对 App 进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。有采用 V2 签名机制 V2 签名验证通过为 true 的情况下,无论 V1 签名验证通过是否为 true,都为无法风险。V1 签名验证通过为 true,V2 签名验证通过为 false 时,则该 APK 仅使用 V1 签名,存在风险。如果你想了解更多网络安全相关知识。作者 | 漏洞404。
Android Janus签名漏洞详解及防范实战
最新发布
weixin_42430341的博客
06-01 886
Janus签名漏洞Android平台安全领域的一个重要问题,它涉及了Android应用签名机制的核心。在深入了解Janus漏洞之前,首先需要了解Android应用签名的基本概念。在Android系统中,应用签名是保障应用完整性和来源认证的关键机制。每个应用在发布前都需通过签名认证,确保其内容未被篡改,且能追踪到应用的开发者或发布者。然而,随着移动设备功能的拓展和应用生态的复杂化,签名机制也成为了安全研究的焦点之一。Janus漏洞的起源可以追溯到Android系统中用于应用签名的机制设计上。
Janus 签名机制漏洞
longlyboyhe的专栏
01-04 3754
什么时Janus 签名机制漏洞? 检测 App 程序是否存在 Janus 签名机制漏洞。 Google 披露了一个名为“Janus”的安卓漏洞漏洞编号:CVE-2017- 13156),该漏洞可以让攻击者绕过安卓系统的 Signature scheme V1 签名 机制,用篡改过的 APK 覆盖原有的应用,并可访问原应用所有的数据,直接 对 App 进行篡改。 由于安卓系统的其他安全机制也是建立在签名和校验基础 上的,所以可以说该漏洞相当于绕过了安卓系统的整个安全机制。 该漏洞的影响范围? 安卓
第三种master key解析
爱新觉罗艾琪
04-21 2775
0x0 前言                  Android系统Master Key漏洞一波未平一波又起,昨天,国外安全研究人员爆料Android系统存在第三个Master Key漏洞,黑客可以通过该漏洞完成控制我们的手机。目前,Google官方已经修复了该漏洞,但是由于Android系统更新的推动力更多的来自于各个设备生产商,因此补丁的推送滞后非常严重。我们在这里提醒大家,下载应用
学习Android三个签名漏洞
dxymoon的专栏
05-20 1162
主要是想记录下自己学习的
LBE"免ROOT"利用MasterKey漏洞分析
热门推荐
移动安全研究和Android/iOS/小程序隐私合规
10-28 1万+
目前Android MasterKey漏洞被人们熟知的有以下两种: 1、BlueBox Security 在BlackHat 2013大会上提报的Android MasterKey漏洞。(http://blog.csdn.net/androidsecurity/article/details/9280995) 2、安卓安全小分队在BlueBox Security提报漏洞之后发现的的另一Android MasterKey漏洞。(http://blog.csdn.net/androi
安卓“Janus”漏洞的产生原理及修复
明潮的BLOG
01-05 7173
Google在12月发布的安卓系统安全公告中披露了一个名为“Janus”安卓漏洞漏洞编号:CVE-2017-13156)。该漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制,进而直接对App进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。   一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等
Android “Janus”安全漏洞及其规避方案
xrong1118的博客
12-12 1096
一、 漏洞说明 2017年12月, Google发布 “Janus”安卓漏洞(CVE-2017-13156)。该漏洞可以让攻击者绕过Android系统的签名机制,在不改变开发者签名的情况下对APP进行篡改。 在Android 5.0到8.0系统中,所有基于signature scheme V1签名机制的App均受“Janus”漏洞影响。仅基于signature scheme V2签名的APP在An...
Android签名漏洞_apk签名校验漏洞,80后程序员感慨中年危机
2201_75604580的博客
04-07 661
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Android APK安全漏洞的些许问题
W_DevilMayCry的博客
04-17 2873
引言 很久没有写博客,最近公司的一些老项目在接受安全检查的时候发现了很多的漏洞,说实话真的是被坑的挺难受的,再次记录一下。希望可以帮到碰到同样问题的猿友们。 1.Janus签名漏洞 为了提升安卓系统的安全性,Google发布了新的签名认证体系signature scheme V2。由于,signature scheme V2需要对App进行重新发布,而大量的已经存在的App APK无法使用V2校验...
Android Apk安全检测出Janus漏洞
wxz的博客
10-22 850
Android安全检测的Janus漏洞
安卓系统“Janus”安全漏洞修复
yuanhui2015的博客
12-27 1943
安卓系统“Janus”安全漏洞(CVE-2017-13156),所有运行于安卓5.0以上系统,仅采用安卓APK V1签名机制的APP受到影响。该漏洞可让攻击者在不改变APP开发者签名的情况下篡改APP程序、植入恶意代码,造成APP敏感数据泄露、手机远程控制等危害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Crystal_lpx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值