wex5有适用Signaturescheme吗？

Mr.Tree

wex5有适用Signaturescheme吗？
使用的是Signaturescheme V1?还是Signaturescheme V2?

jishuang

用的Signaturescheme V1

Mr.Tree

jishuang 发表于 2019-1-9 11:43
用的Signaturescheme V1

请问，可以修改成Signaturescheme V2吗，如何修改？

jishuang

/Native/templates下提供的有android的源码可以跟踪调试修改看看

sucsy

楼主搞定了吗？我这边集团安全部门都发红头文件了，要限期整改。

关于安卓系统 Janus 高危漏洞的预警通报
近日，集团 SOC 获悉集团所属多个 App APK 文件存在 Janus 高危漏洞。
根据该漏洞（漏洞编号：CVE　2017　13156）描述，产生的原因在于将 DEX
文件和 APK 文件拼接之后校验签名时只校验了文件的 APK 部分，而虚拟机执
行时却执行了文件的 DEX 部分，从而导致了漏洞的发生。攻击者利用该漏洞
可以绕过安卓系统的 Signaturescheme V1 签名机制，进而直接对 App 进行
篡改。一旦攻击者将植入恶意代码的仿冒 App 投放到安卓商店等第三方应用
市场，就可替代原有的 App 做下载、更新。这些仿冒 App 被安装后，不仅会
泄露个人账号、密码、照片、文件等隐私信息，手机更可能被植入木马病毒，
进而或导致手机被 ROOT，甚至被远程操控。
影响范围：Android 5.0-8.0 且使用 Signaturescheme V1 签名的 APK文件。
该漏洞危险性较大。请各单位尽快组织对自有 App 进行排查。如发现
APK 文件使用了 Signaturescheme V1 签名，建议将 App APK 升级到最新的
Signature scheme V2 签名机制或参考谷歌官方修复方案链接。