Android5.1.1 - APK签名校验分析和修改源码绕过签名校验
Android5.1.1 - APK签名校验分析和修改源码绕过签名校验
阿里聚安全 发表于1年前
Android5.1.1 - APK签名校验分析和修改源码绕过签名校验
  • 发表于 1年前
  • 阅读 11
  • 收藏 0
  • 点赞 0
  • 评论 0

腾讯云 十分钟定制你的第一个小程序>>>   

摘要: 本篇文章分享APK签名校验分析及绕过签名校验的源码修改点。

作者:寻禹@阿里聚安全 ##APK签名校验分析 找到PackageParser类,该类在文件“frameworks/base/core/java/android/content/pm/PackageParser.java”中。PackageParser类的collectCertificates方法会对APK进行签名校验,在该方法会遍历APK中的所有文件,并对每个文件进行校验。下面是该方法的部分源码: 1

APK是一个ZIP格式的文件所以使用ZIP相关的类进行读写。上面代码中调用了loadCertificates方法,这个方法返回一个二维数组,如果APK中的文件签名校验失败那么loadCertificates方法会返回一个空数组(可能是null,可能是数组长度为0),按照上面代码的逻辑如果数组为空则会抛出异常。 loadCertificates方法的代码见下: 2

上面代码中is是JarFile.JarFileInputStream类的对象。loadCertificates方法中调用了readFullyIgnoringContents方法,在readFullyIgnoringContents方法中会调用JarFile.JarFileInputStream.read方法读取APK中一项的数据,在read方法中会校验读取到的数据项的签名,如果签名校验失败,则会抛出SecurityException类型的异常,即签名校验失败。 JarFile类在“libcore/luni/src/main/java/java/util/jar/JarFile.java”文件中。 上面代码中调用了StrictJarFile.getCertificateChains方法,下面是它的代码: 3

上面代码中isSigned的值是这么来的: 4

当证书读取成功,并且当前APK经过了签名,则isSigned为true。 回到StrictJarFile.getCertificateChains方法中,当isSigned为true时会调用JarVerifier.getCertificateChains方法,下面是它的代码: 5

下面是类成员变量verifiedEntries的声明: 6

verifiedEntries是一个键值对,键是APK中经过了签名的文件名,如:classes.dex文件,值是证书数组。如果向已经签过名的APK中新添加一个文件然后安装这个APK,当程序逻辑执行到JarVerifier.getCertificateChains方法中时,在verifiedEntries变量中无法找到新添加的文件名(因为这个新文件是在APK签名之后添加),那么JarVerifier.getCertificateChains方法将返回null。 ##绕过签名校验 ###源码修改点一 找到PackageParser.loadCertificates方法,下面是部分源码: 7

将上面代码catch块中的throw语句替换为:return null; 下面是修改后的代码: 8

代码修改完后,当APK中文件签名校验失败时不会抛出异常,APK还会继续安装。 ###源码修改点二 找到PackageParser.collectCertificates方法,找到代码中调用loadCertificates方法的地方: 9

将上面的throw语句替换为:continue; 修改后的代码: 10

代码修改完后,当遇到APK中没有经过签名的文件时不会抛出异常,APK还会继续安装。

作者:寻禹@阿里聚安全,更多技术文章,请访问阿里聚安全博客

共有 人打赏支持
粉丝 20
博文 88
码字总数 187136
×
阿里聚安全
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: