Perusahaan Belgia GuardSquare telah menerbitkan laporan tentang kerentanan (CVE-2017-13156) yang ditemukan di Android, yang dijuluki Janus. Kerentanan ini memungkinkan penyerang untuk mengubah kode aplikasi tanpa mempengaruhi tanda tangan.
Saat mengembangkan aplikasi Android, diperlukan spesialis untuk menandatangani produknya . Selama pembaruan, sistem membandingkan tanda tangan file APK dengan versi yang ada dan, jika ada kecocokan, aplikasi dikompilasi menjadi file DEX untuk dijalankan di perangkat. Akar masalahnya adalah kerentanan terkait dengan kemampuan untuk menambahkan byte ekstra ke file APK dan DEX. File APK adalah arsip zip yang memungkinkan Anda memuat beberapa byte sembarang di awal sebelum entri zip. Selama penandatanganan, JAR mengabaikan byte tambahan apa pun selain entri zip yang diperlukan untuk memverifikasi tanda tangan aplikasi. Pada gilirannya, file DEX berisi byte arbitrer di bagian akhir. Jadi, Janus menggabungkan file APK yang tidak dimodifikasi dengan DEX yang dapat dieksekusi yang dimodifikasi yang tidak memengaruhi tanda tangan aplikasi. Dalam hal ini, sistem Android akan mengizinkan Anda menginstal dan kemudian menjalankan kode dari header DEX. Pada saat yang sama, penyerang memiliki kesempatan untuk mengelola izin dan mengganti aplikasi pada pembaruan berikutnya.
Janus hanya akan dapat merusak aplikasi yang ditandatangani menggunakan metode berbasis JAR (Android 5.0 dan lebih tinggi). Dimulai dengan Android 7.0 Nougat, metode tanda tangan JAR digantikan oleh APK Signature Scheme v2, yang memberikan perlindungan untuk versi berikutnya.
GO TO FULL VERSION