Janus漏洞(CVE-2017-13156): 修改安卓app而不影响签名

前言

自诞生以来,Android就要求开发者对应用进行签名。在应用进行更新时,只有更新包的签名与现有的app的签名一致的情况下,Android运行时才允许更新包安装到系统。若app被恶意的攻击者修改,重新打包签名,由于攻击者无法获得原始开发者的私钥,其重打包的签名与原始签名不一致,系统会拒绝安装此更新。这样可以保证每次的更新一定来自原始的开发者。然而Google在本月4日发布的Android安全公告中提到一个Android的漏洞,利用该漏洞的攻击者可修改app而不影响其原始签名。

该漏洞产生的根源在于:一个文件可以同时是APK文件和DEX文件。由于这种同时为APK文件和DEX文件的二元性,联想到罗马的二元之神Janus,将该漏洞命名为:Janus漏洞。

 

Janus漏洞原理

如图:

攻击者可以利用这种二元性(Janus漏洞),将一个恶意的DEX文件与原始APK文件进行拼接,从而不影响APK文件的签名。Android运行时就可以将该带有恶意DEX文件的APK文件看作是之前app的合法的升级版,允许这种安装,然后从DEX的头部开始执行!而这里的DEX就可以是任意的符合DEX格式的文件了,可以带有攻击者的恶意代码。如果被“升级”的app是一个具有高权限的app,比如系统应用,那么该恶意应用可继承其高权限,访问系统的敏感信息,甚至完全接管系统!

 

影响范围

该漏洞仅影响基于 JAR 签名的方案(v1 方案)。不影响自Android 7.0 以来引入的 APK 签名方案 v2(v2 方案)。

 

参考

http://www.androidpolice.com/2017/12/08/janus-vulnerability-allows-attackers-modify-apks-without-changing-signature-apkmirror-already-protected/

https://source.android.com/security/apksigning/

(完)