La società belga GuardSquare ha pubblicato un rapporto su una vulnerabilità (CVE-2017-13156) scoperta in Android, soprannominata Janus. La vulnerabilità consente agli aggressori di modificare il codice dell'applicazione senza compromettere la firma.
Quando si sviluppa un'applicazione Android, è necessario che gli specialisti firmino il loro prodotto . Durante l'aggiornamento, il sistema confronta la firma del file APK con la versione esistente e, se c'è una corrispondenza, l'applicazione viene compilata in un file DEX da eseguire sul dispositivo. La radice del problema è che la vulnerabilità è legata alla possibilità di aggiungere byte aggiuntivi ai file APK e DEX. Il file APK è un archivio zip che consente di contenere all'inizio alcuni byte arbitrari prima delle voci zip. Durante la firma, il JAR ignora eventuali byte aggiuntivi diversi dalle voci zip necessarie per verificare la firma dell'applicazione. A sua volta, il file DEX contiene alla fine byte arbitrari. Janus combina quindi un file APK non modificato con un eseguibile DEX modificato che non influisce sulla firma dell'applicazione. In questo caso, il sistema Android ti consentirà di installare e quindi eseguire il codice dall'intestazione DEX. Allo stesso tempo, gli aggressori hanno la possibilità di gestire le autorizzazioni e sostituire l'applicazione durante il prossimo aggiornamento.
Janus sarà in grado di danneggiare solo le applicazioni firmate utilizzando un metodo basato su JAR (Android 5.0 e versioni successive). A partire da Android 7.0 Nougat, il metodo di firma JAR è stato sostituito da APK Signature Scheme v2, che fornisce protezione per le versioni successive.
GO TO FULL VERSION