新的 Android 漏洞修改应用程序而不影响其签名

比利时公司GuardSquare发布了一份关于 Android 中发现的漏洞 (CVE-2017-13156) 的报告，绰号为 Janus。该漏洞允许攻击者修改应用程序代码而不影响签名。 在开发Android应用程序时，需要专家对其产品进行签名。在更新过程中，系统会将APK文件的签名与现有版本进行比较，如果匹配，则将应用程序编译成DEX文件以在设备上运行。问题的根源在于该漏洞与向 APK 和 DEX 文件添加额外字节的能力有关。APK 文件是一个 zip 存档，允许您在 zip 条目之前的开头包含一些任意字节。在签名期间，JAR 会忽略除验证应用程序签名所需的 zip 条目之外的任何其他字节。反过来，DEX 文件末尾包含任意字节。因此，Janus 将未修改的 APK 文件与修改后的 DEX 可执行文件结合在一起，不会影响应用程序签名。在这种情况下，Android 系统将允许您安装并运行 DEX 标头中的代码。同时，攻击者有机会在下次更新期间管理权限并替换应用程序。 Janus 只能损害使用基于 JAR 的方法（Android 5.0 及更高版本）签名的应用程序。从Android 7.0 Nougat开始，JAR签名方式被APK签名方案v2取代，为后续版本提供保护。