检测APK是否存在Janus漏洞步骤 - 润新知

检测APK是否存在Janus漏洞步骤
Janus说明

Android APP仅使用V1签名，可能存在Janus漏洞（CVE-2017-13156），Janus漏洞（CVE-2017-13156）允许攻击者在不改变原签名的情况下任意修改APP中的代码逻辑。

影响范围：Android系统5.1.1 - 8.0

检测方式

方式1-使用GetApkInfo.jar工具

GetApkInfo.jar （https://github.com/bihe0832/Android-GetAPKInfo）

打开cmd，输入命令
```
java -jar GetApkInfo.jar路径  apk路径
```
结果确认：
V2签名为false，说明存在janus漏洞。

方式2-把APK改成zip解压查看

把包中的META-INF文件夹下的*.SF文件打开

左边是只使用了V1，右边是V1+V2

修复

APK打包时使用V1+V2的签名方式。
相关阅读:
车载OS盘点及特点分析一：车载OS几大系统介绍
 CTF常用软件/工具
 汽车软件产业研究报告（2020年）
高级加密标准（AES）分析
 工具 | CTP、SimNow、NSight、快期
 CTF之图片隐写术解题思路
 V2X和车路协同研究：5G V2X将成为数字座舱标配
 腾讯安全正式发布《IoT安全能力图谱》
Microsoft Remote Desktop Beta 下载地址
 密码学初探|加密模式
原文地址：https://www.cnblogs.com/mysticbinary/p/12107488.html

Copyright © 2020-2023 润新知