Android Janus漏洞修复

最新推荐文章于 2025-06-01 13:38:45 发布
原创 最新推荐文章于 2025-06-01 13:38:45 发布 · 1.1k 阅读 · 2
标签
#Android  janus漏洞修复

Android Janus漏洞修复## 标题

  • 什么是Janus漏洞
    自诞生以来,Android就要求开发者对应用进行签名。在应用进行更新时,只有更新包的签名与现有的app的签名一致的情况下,Android运行时才允许更新包安装到系统。若app被恶意的攻击者修改,重新打包签名,由于攻击者无法获得原始开发者的私钥,其重打包的签名与原始签名不一致,系统会拒绝安装此更新。这样可以保证每次的更新一定来自原始的开发者。然而Google在2017年4日发布的Android安全公告中提到一个Android的漏洞,利用该漏洞的攻击者可修改app而不影响其原始签名。该漏洞产生的根源在于:一个文件可以同时是APK文件和DEX文件。由于这种同时为APK文件和DEX文件的二元性,联想到罗马的二元之神Janus,将该漏洞命名为:Janus漏洞。该漏洞仅影响基于 JAR 签名的方案(v1 方案)。不影响自Android 7.0 以来引入的 APK 签名方案 v2(v2 方案)。

  • 发现Janus漏洞
    昨天我的领导突然发了一份文档给我并对我讲这是网信办对我们APP的检查报告,让我十万火急地去解决掉,我打开乍一眼看到Janus漏洞也是很懵逼的,这是什么鬼(第一次听说),没办法只能去某度上去科普了,查了很多资料觉得网上说的不够详细所以决定在解决这个问题后把自己踩的坑填起来。

  • 解决Janus漏洞
    网上说产生这个漏洞的原因是因为APP在签名打包的只使用了V1(Jar Signature),
    在这里插入图片描述
    这就奇了怪了哈,我明明在用Android studio 打包的时候用的是V1+V2签名生成APK,怎么生成APK后就只

最低0.47元/天 解锁文章
Android漏洞,安全,Janus签名漏洞实例,内涵样本app和工具
02-09
Android漏洞,安全,Janus签名漏洞实例,内涵样本app和工具
安卓系统“Janus”安全漏洞修复
yuanhui2015的博客
12-27 1944
安卓系统“Janus”安全漏洞(CVE-2017-13156),所有运行于安卓5.0以上系统,仅采用安卓APK V1签名机制的APP受到影响。该漏洞可让攻击者在不改变APP开发者签名的情况下篡改APP程序、植入恶意代码,造成APP敏感数据泄露、手机远程控制等危害。
Android安全检测 - Janus签名漏洞
qq_35993502的博客
02-05 7592
前言 这一章来说说Janus签名漏洞,网上关于这个漏洞的介绍几位详细,其中的原理均为其它地方进行摘录,那么我主要做的就是POC测试,在文章末尾也会给出相应的样本,当然样本就是自己做的,用真实的上线项目来做这个也不合适,想找真实的项目来练练手的话推荐找2017年12月之前的项目(学习可以,但不要在网上发布不当的东西) 一、漏洞原理 基本概述 Google在2017年12月份披露了一个名为“Janus”的安全漏洞漏洞编号:CVE-2017-13156),该漏洞可以让攻击者绕过安卓的签名校验机制(signatu
安卓漏洞学习(九):janus漏洞原理与利用
beefreesky的博客
11-02 1339
janus基本原理和利用方法
app客户端评估-janus 签名机制漏洞
m0_46490129的博客
07-31 492
漏洞可以让攻击者绕过安卓系统的 signature scheme V1 签名机制,进而直接对 App 进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。有采用 V2 签名机制 V2 签名验证通过为 true 的情况下,无论 V1 签名验证通过是否为 true,都为无法风险。V1 签名验证通过为 true,V2 签名验证通过为 false 时,则该 APK 仅使用 V1 签名,存在风险。如果你想了解更多网络安全相关知识。作者 | 漏洞404。
AndroidJanus”安全漏洞及其规避方案
xrong1118的博客
12-12 1097
一、 漏洞说明 2017年12月, Google发布 “Janus”安卓漏洞(CVE-2017-13156)。该漏洞可以让攻击者绕过Android系统的签名机制,在不改变开发者签名的情况下对APP进行篡改。 在Android 5.0到8.0系统中,所有基于signature scheme V1签名机制的App均受“Janus漏洞影响。仅基于signature scheme V2签名的APP在An...
安卓“Janus漏洞的产生原理及修复
明潮的BLOG
01-05 7175
Google在12月发布的安卓系统安全公告中披露了一个名为“Janus”安卓漏洞漏洞编号:CVE-2017-13156)。该漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制,进而直接对App进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。   一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等
Android 签名漏洞Janus
qq_33209777的博客
11-15 1444
美国时间12月9日,Google披露了一个名为“Janus”安卓漏洞。该漏洞可以让攻击者绕过安卓签名机制,从而让攻击者对App进行篡改,安卓5.0到8.0等个版本系统均受影响。 顶象安全专家提醒广大安卓用户,尽快升级到最新版安卓系统,并到App官方网站下载或更新App。同时,建议开发者将App APK(安装包)升级为V2签名机制,或者为App配置上顶象技术的安全SDK,以防范该漏洞带来的威胁。 这是一个“核弹”级的安全漏洞Janus漏洞是Google在12月发布的安卓系统的安全公告中披露的,由移
Janus 二元神漏洞测试
weixin_33976072的博客
12-25 188
同步发表于:http://blog.hacktons.cn/2017/12/25/janus-demo/ 背景 12月9号,Andorid对外曝光了一个名为Janus的重量级系统漏洞CVE-2017-13156), 由安全研究公司Guard Square发现。 Janus原意是神话中的二元身,用于描述这个漏洞还真是贴切。 整个漏洞其实建立在文件校验规则之上: 一个文件即是APK,又是DEX,...
安天移动安全:Janus高危漏洞深度分析
omnispace的博客
12-30 1238
一、背景介绍   近日,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。 众所周知,Android具有签名机制。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名
检测Android是否存在Janus漏洞
weixin_30267691的博客
03-14 679
目录 Janus说明 检测方式 1. 使用工具 2. 把APK改成zip解压 漏洞利用 修复 Janus说明 Android APP仅使用V1签名,可能存在Janus漏洞(CVE-2017-13156),Janus漏...
Android APP风险之Janus漏洞
HDZWo的博客
06-29 2935
Android APP仅使用V1签名,可能存在Janus漏洞(CVE-2017-13156),Janus漏洞(CVE-2017-13156)允许攻击者在不改变原签名的情况下任意修改APP中的代码逻辑,影响范围:Android系统5.1.1-8.0。下面为复现: 1、找到一个使用V1方式签名的Android APP。     最简单直接的判断APP签名方式的方法就是直接查看apk包中的META-...
Janus高危漏洞深度分析
云守护的专栏
09-18 1149
转自:http://www.freebuf.com/articles/paper/158133.html http://www.freebuf.com/articles/terminal/156862.html 一、背景介绍 近日,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。 众所周知...
你可能还不知道的apk签名绕过方法
热门推荐
要想到做到
12-18 1万+
近期更新Android应用可要注意了,不要随意点个链接就升级,你的正宗应用可能升级成山寨应用哦。 Google在12月发布的安全公告中提到的“Janus漏洞,可使攻击者在不改变原应用签名的情况上,注入恶意代码。
独家分析:安卓“Janus漏洞的产生原理及利用过程
小司机的奥拓
10-17 496
一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场,就可替代原有的App做下载、更新。网友安装这些仿冒App后,不仅会泄露个人账号、密码、照片、文件等隐私信息,手机更可能被植入木马病毒,进而或导致手机被ROOT,甚至被远程操控。详情可以参考及。在第一时间监测到“janus漏洞的情况后,顶象技术及时更新了“安全SDK”的防御策略,并率先发布了针对该漏洞的防护方案,以帮助广大用户防范基于该漏洞的攻击威胁。
“核弹级”Android漏洞Janus,黑客可以任意篡改App
顶象科技的技术文章
12-11 2027
一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场,就可替代原有的App,进行公开下载、更新。
Android Janus签名漏洞详解及防范实战
最新发布
weixin_42430341的博客
06-01 888
Janus签名漏洞Android平台安全领域的一个重要问题,它涉及了Android应用签名机制的核心。在深入了解Janus漏洞之前,首先需要了解Android应用签名的基本概念。在Android系统中,应用签名是保障应用完整性和来源认证的关键机制。每个应用在发布前都需通过签名认证,确保其内容未被篡改,且能追踪到应用的开发者或发布者。然而,随着移动设备功能的拓展和应用生态的复杂化,签名机制也成为了安全研究的焦点之一。Janus漏洞的起源可以追溯到Android系统中用于应用签名的机制设计上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值