Das belgische Unternehmen GuardSquare hat einen Bericht über eine in Android entdeckte Sicherheitslücke (CVE-2017-13156) mit dem Spitznamen Janus veröffentlicht . Die Sicherheitslücke ermöglicht es Angreifern, Anwendungscode zu ändern, ohne die Signatur zu beeinträchtigen.
Bei der Entwicklung einer Android-Anwendung müssen Spezialisten ihr Produkt signieren . Während des Updates vergleicht das System die Signatur der APK-Datei mit der vorhandenen Version und bei Übereinstimmung wird die Anwendung in eine DEX-Datei kompiliert, um auf dem Gerät ausgeführt zu werden. Die Ursache des Problems liegt darin, dass die Sicherheitslücke mit der Möglichkeit zusammenhängt, zusätzliche Bytes zu APK- und DEX-Dateien hinzuzufügen. Die APK-Datei ist ein Zip-Archiv, das es Ihnen ermöglicht, am Anfang vor den Zip-Einträgen einige beliebige Bytes zu enthalten. Beim Signieren ignoriert die JAR alle zusätzlichen Bytes außer den ZIP-Einträgen, die zur Überprüfung der Signatur der Anwendung erforderlich sind. Die DEX-Datei wiederum enthält am Ende beliebige Bytes. Somit kombiniert Janus eine unveränderte APK-Datei mit einer modifizierten ausführbaren DEX-Datei, die keinen Einfluss auf die Anwendungssignatur hat. In diesem Fall ermöglicht Ihnen das Android-System die Installation und anschließende Ausführung des Codes über den DEX-Header. Gleichzeitig haben Angreifer die Möglichkeit, Berechtigungen zu verwalten und die Anwendung beim nächsten Update zu ersetzen.
Janus kann nur Anwendungen beschädigen, die mit einer JAR-basierten Methode signiert sind (Android 5.0 und höher). Ab Android 7.0 Nougat wurde die JAR-Signaturmethode durch APK Signature Scheme v2 ersetzt, das Schutz für nachfolgende Versionen bietet.
GO TO FULL VERSION