Android5.1.1 - APK签名校验分析和修改源码绕过签名校验

Android5.1.1 - APK签名校验分析和修改源码绕过签名校验

作者：寻禹@阿里聚安全

APK签名校验分析

APK是一个ZIP格式的文件所以使用ZIP相关的类进行读写。上面代码中调用了loadCertificates方法，这个方法返回一个二维数组，如果APK中的文件签名校验失败那么loadCertificates方法会返回一个空数组（可能是null，可能是数组长度为0），按照上面代码的逻辑如果数组为空则会抛出异常。

loadCertificates方法的代码见下：

上面代码中is是JarFile.JarFileInputStream类的对象。loadCertificates方法中调用了readFullyIgnoringContents方法，在readFullyIgnoringContents方法中会调用JarFile.JarFileInputStream.read方法读取APK中一项的数据，在read方法中会校验读取到的数据项的签名，如果签名校验失败，则会抛出SecurityException类型的异常，即签名校验失败。

JarFile类在“libcore/luni/src/main/java/java/util/jar/JarFile.java”文件中。

上面代码中调用了StrictJarFile.getCertificateChains方法，下面是它的代码：

上面代码中isSigned的值是这么来的：

当证书读取成功，并且当前APK经过了签名，则isSigned为true。

回到StrictJarFile.getCertificateChains方法中，当isSigned为true时会调用JarVerifier.getCertificateChains方法，下面是它的代码：

下面是类成员变量verifiedEntries的声明：

verifiedEntries是一个键值对，键是APK中经过了签名的文件名，如：classes.dex文件，值是证书数组。如果向已经签过名的APK中新添加一个文件然后安装这个APK，当程序逻辑执行到JarVerifier.getCertificateChains方法中时，在verifiedEntries变量中无法找到新添加的文件名（因为这个新文件是在APK签名之后添加），那么JarVerifier.getCertificateChains方法将返回null。

将上面代码catch块中的throw语句替换为：return null;

下面是修改后的代码：

代码修改完后，当APK中文件签名校验失败时不会抛出异常，APK还会继续安装。

将上面的throw语句替换为：continue;

修改后的代码：

代码修改完后，当遇到APK中没有经过签名的文件时不会抛出异常，APK还会继续安装。

作者：寻禹@阿里聚安全，更多Android技术文章，请访问阿里聚安全博客

阿里聚安全由阿里巴巴移动安全部出品，面向企业和开发者提供企业安全解决方案，全面覆盖移动安全、数据风控、内容安全、实人认证等维度，并在业界率先提出“以业务为中心的安全”，赋能生态，与行业共享阿里巴巴集团多年沉淀的专业安全能力。