阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3208阅读
  • 1回复

[安全漏洞公告专区]Android5.1.1 - APK签名校验分析和修改源码绕过签名校验

发帖
107
云币
373
RQx8Du<  
Android5.1.1 - APK签名校验分析和修改源码绕过签名校验
ilL0=[2  
作者:寻禹@阿里聚安全
m,E$KHt (  
  
p%"dYH%]&0  
APK签名校验分析 [s {!  
mUh]`/MK$  
@dDeOnF  
找到PackageParser类,该类在文件“frameworks/base/core/java/android/content/pm/PackageParser.java”中。PackageParser类的collectCertificates方法会对APK进行签名校验,在该方法会遍历APK中的所有文件,并对每个文件进行校验。下面是该方法的部分源码: KT(Z #$  
yJm"vN  
#dA$k+3  
H,!xTy"Wh  
n~*".ZC'Y  
APK是一个ZIP格式的文件所以使用ZIP相关的类进行读写。上面代码中调用了loadCertificates方法,这个方法返回一个二维数组,如果APK中的文件签名校验失败那么loadCertificates方法会返回一个空数组(可能是null,可能是数组长度为0),按照上面代码的逻辑如果数组为空则会抛出异常。 =^nb+}Nz(  
loadCertificates方法的代码见下: $RPW/Lyiq  
5~JT*Ny  
(CmK> "C+  
EiW|+@1  
N6U d(8*  
上面代码中is是JarFile.JarFileInputStream类的对象。loadCertificates方法中调用了readFullyIgnoringContents方法,在readFullyIgnoringContents方法中会调用JarFile.JarFileInputStream.read方法读取APK中一项的数据,在read方法中会校验读取到的数据项的签名,如果签名校验失败,则会抛出SecurityException类型的异常,即签名校验失败。 m|@H`=`d  
JarFile类在“libcore/luni/src/main/java/java/util/jar/JarFile.java”文件中。 i6`"e[aT[o  
上面代码中调用了StrictJarFile.getCertificateChains方法,下面是它的代码: ??rS h Mu  
x<NPp&GE  
t;&XIG~  
g7*)|FOb  
aLJm%uW6m&  
上面代码中isSigned的值是这么来的: Sjpx G@k  
\c=I!<9  
}rTH<! j  
[. 5m}V  
>Jz9wo`  
当证书读取成功,并且当前APK经过了签名,则isSigned为true。 x*Lt]]A  
回到StrictJarFile.getCertificateChains方法中,当isSigned为true时会调用JarVerifier.getCertificateChains方法,下面是它的代码: -u2i"I730  
}htjT/Nm  
E7fx4kV  
vT'Bs;QR  
Sqo+cZ  
下面是类成员变量verifiedEntries的声明: 0+1wi4wy/  
1 DWoL}Z  
> VG  
<B"sp r&1  
a|aVc'j  
verifiedEntries是一个键值对,键是APK中经过了签名的文件名,如:classes.dex文件,值是证书数组。如果向已经签过名的APK中新添加一个文件然后安装这个APK,当程序逻辑执行到JarVerifier.getCertificateChains方法中时,在verifiedEntries变量中无法找到新添加的文件名(因为这个新文件是在APK签名之后添加),那么JarVerifier.getCertificateChains方法将返回null。 a&y^Ps6=  
  
Lsmcj{1d  
|?`5~f  
绕过签名校验 C_.9qo]DT7  
源码修改点一 24mdhT|  
找到PackageParser.loadCertificates方法,下面是部分源码: U=on}W3V 2  
`BPTcL<W  
I5$P9UE+^9  
<AHpk5Sn{  
)?L=o0  
将上面代码catch块中的throw语句替换为:return null; pm&TH d  
下面是修改后的代码: :$5A3i  
'=\}dav!  
\U~4b_aN  
Zo9<96I&  
!liV Y]  
代码修改完后,当APK中文件签名校验失败时不会抛出异常,APK还会继续安装。 092t6D}  
TOYK'|lwM  
WeI+|V$  
源码修改点二 Q=\ Oa(I  
c}x1-d8  
::L2zVq5V  
找到PackageParser.collectCertificates方法,找到代码中调用loadCertificates方法的地方: =BsV`p7rU  
c PGlT"  
<P9fNBGa  
B{-7  
s:`i~hjq  
将上面的throw语句替换为:continue; cH]tZ$E`  
修改后的代码: T:|/ux3  
ZO}Og&%  
snV*gSUH  
`sxfj)s  
<O x[![SR  
代码修改完后,当遇到APK中没有经过签名的文件时不会抛出异常,APK还会继续安装。 +Qs]8*^?;  
N!A20Bv  
rCyb3,W  
作者:寻禹@阿里聚安全,更多技术文章,请访问阿里聚安全博客 fGgt[f[  
^\)a[OWp  
bIKg>U'5d  
gU9{~-9}  
[ 此帖被移动安全在2016-08-02 11:29重新编辑 ]
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 沙发  发表于: 2016-08-02
图片代替代码。。。不错的思路

楼主留言:

( ╯▽╰)

发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)