La firma belga GuardSquare ha publicado un informe sobre una vulnerabilidad (CVE-2017-13156) descubierta en Android, apodada Janus. La vulnerabilidad permite a los atacantes modificar el código de la aplicación sin afectar la firma.
Al desarrollar una aplicación para Android, se requiere que los especialistas firmen su producto . Durante la actualización, el sistema compara la firma del archivo APK con la versión existente y, si coincide, la aplicación se compila en un archivo DEX para ejecutarse en el dispositivo. La raíz del problema es que la vulnerabilidad está relacionada con la capacidad de agregar bytes adicionales a archivos APK y DEX. El archivo APK es un archivo zip que le permite contener algunos bytes arbitrarios al principio antes de las entradas zip. Durante la firma, el JAR ignora cualquier byte adicional que no sean las entradas zip necesarias para verificar la firma de la aplicación. A su vez, el archivo DEX contiene bytes arbitrarios al final. Así, Janus combina un archivo APK sin modificar con un ejecutable DEX modificado que no afecta a la firma de la aplicación. En este caso, el sistema Android le permitirá instalar y luego ejecutar el código desde el encabezado DEX. Al mismo tiempo, los atacantes tienen la oportunidad de administrar los permisos y reemplazar la aplicación durante la próxima actualización.
Janus solo podrá dañar aplicaciones firmadas utilizando un método basado en JAR (Android 5.0 y superior). A partir de Android 7.0 Nougat, el método de firma JAR fue reemplazado por APK Signature Scheme v2, que brinda protección para versiones posteriores.
GO TO FULL VERSION