janus说明

  android app仅使用v1签名，可能存在janus漏洞（cve-2017-13156），janus漏洞（cve-2017-13156）允许攻击者在不改变原签名的情况下任意修改app中的代码逻辑。

  影响范围：android系统5.1.1 - 8.0

检测方式

方式1-使用getapkinfo.jar工具

getapkinfo.jar （https://github.com/bihe0832/android-getapkinfo）

打开cmd，输入命令

java -jar getapkinfo.jar路径  apk路径

结果确认：
v2签名为false，说明存在janus漏洞。

方式2-把apk改成zip解压查看

把包中的meta-inf文件夹下的*.sf文件打开

左边是只使用了v1，右边是v1+v2

修复

apk打包时使用v1+v2的签名方式。