Perusahaan Belgia GuardSquare wis nerbitake laporan babagan kerentanan (CVE-2017-13156) sing ditemokake ing Android, sing dijuluki Janus. Kerentanan ngidini panyerang kanggo ngowahi kode aplikasi tanpa mengaruhi teken.
Nalika ngembangake aplikasi Android, mbutuhake spesialis kanggo mlebu produke . Sajrone nganyari, sistem mbandhingake teken file APK karo versi sing wis ana lan, yen ana sing cocog, aplikasi kasebut dikompilasi menyang file DEX kanggo mbukak ing piranti kasebut. Oyod masalah kasebut yaiku kerentanan kasebut ana gandhengane karo kemampuan kanggo nambah bita ekstra menyang file APK lan DEX. File APK minangka arsip zip sing ngidini sampeyan ngemot sawetara bait sing sewenang-wenang ing wiwitan sadurunge entri zip. Sajrone teken, JAR nglirwakake bita tambahan kajaba entri zip sing dibutuhake kanggo verifikasi teken aplikasi. Sabanjure, file DEX ngemot bita arbitrer ing pungkasan. Mangkono, Janus nggabungake file APK sing ora diowahi karo eksekusi DEX sing diowahi sing ora mengaruhi teken aplikasi. Ing kasus iki, sistem Android bakal ngidini sampeyan nginstal banjur mbukak kode saka header DEX. Ing wektu sing padha, panyerang duwe kesempatan kanggo ngatur ijin lan ngganti aplikasi sajrone nganyari sabanjure.
Janus mung bisa ngrusak aplikasi sing ditandatangani nggunakake metode basis JAR (Android 5.0 lan luwih dhuwur). Diwiwiti karo Android 7.0 Nougat, cara tandha JAR diganti karo Skema Tandha APK v2, sing menehi perlindungan kanggo versi sabanjure.
GO TO FULL VERSION