Janus说明
Android APP仅使用V1签名,可能存在Janus漏洞(CVE-2017-13156),Janus漏洞(CVE-2017-13156)允许攻击者在不改变原签名的情况下任意修改APP中的代码逻辑。
影响范围:Android系统5.1.1 - 8.0
检测方式
方式1-使用GetApkInfo.jar工具
GetApkInfo.jar (https://github.com/bihe0832/Android-GetAPKInfo)
打开cmd,输入命令
java -jar GetApkInfo.jar路径 apk路径
结果确认:
V2签名为false,说明存在janus漏洞。
方式2-把APK改成zip解压查看
把包中的META-INF文件夹下的*.SF文件打开
左边是只使用了V1,右边是V1+V2
修复
APK打包时使用V1+V2的签名方式。