前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Janus签名漏洞(CVE-2017-13156)原理与利用分析

Janus签名漏洞(CVE-2017-13156)原理与利用分析

作者头像
FB客服
发布2018-07-30 11:06:22
1.3K0
发布2018-07-30 11:06:22
举报
文章被收录于专栏:FreeBuf

*本文原创作者:Tasfa,本文属FreeBuf原创奖励计划,未经许可禁止转载

0x00 简介

前言:

去年比较严重的洞,以比较浅显的方式学习记录一下,网上有很多其他深度分析文章,也可借鉴学习。

Janus签名漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制,进而直接对App进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。

公告详情:

https://source.android.com/security/bulletin/2017-12-01

影响: 利用该漏洞的攻击者可注入恶意代码直接修改app而不影响其原始签名,即修改后仍是官方签名

影响范围: Android 5.0-8.0且使用Signaturescheme V1签名的APK文件,不影响Signaturescheme V2

自测:

0x01 漏洞原理

Android在4.4引入ART虚拟机,相比较于Dalvik虚拟机仅能运行包装于apk中的dex文件,ART还允许直接运行优化后的dex文件。具体操作是通过读取文件头部的magic字段进行判断,区别执行apk或者dex。

ZIP文件的读取方式是读取文件末尾定位的central directory, 然后通过里面的索引定位到各个zip entry,每个entry解压之后都对应一个文件。ParseZipArchive()函数在进行以上处理时候并没有判断文件头部的magic字段是否为504B0304(即Zip).

因此根据以上两点,攻击者可以通过将恶意dex文件置于apk文件的头部(如上图所示),在系统安装apk文件时,系统安装器解压zip时并没有先判断apk文件的头部magic字段,直接默认是apk(zip)文件,从而直接从文件尾部进行读取解压,此时签名没有任何变化,因此可欺骗系统,从而进行安装。

攻击关键点是当用户点击运行apk时,系统ART虚拟机会去判断文件头部的magic字段,从而使用不同的策略执行文件,由于该apk文件头部被修改为恶意dex,因此art虚拟机直接执行恶意dex文件。

0x02 漏洞利用

漏洞利用PoC:

0x03 漏洞防御

谷歌官方修复diff:

在解压zip文件时,调用函数ReadAtOffset()读取offset=0的magic字段是否为LocalFileHeader::kSignature(即0x04034b50)

防御:

使用Signaturescheme V2签名

前往官方网站下载正版应用或到阿里PP助手下载安全应用

0x04 参考

New Android vulnerability allows attackers to modify apps without affecting their signatures

Janus漏洞(CVE-2017-13156): 修改安卓app而不影响签名

安卓“Janus”漏洞的产生原理及利用过程

ZIP文件格式分析

*本文原创作者:Tasfa,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-05-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 0x00 简介
  • 0x01 漏洞原理
  • 0x02 漏洞利用
  • 0x03 漏洞防御
  • 0x04 参考
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档