A empresa belga GuardSquare publicou um relatório sobre uma vulnerabilidade (CVE-2017-13156) descoberta no Android, apelidada de Janus. A vulnerabilidade permite que invasores modifiquem o código do aplicativo sem afetar a assinatura.
Ao desenvolver um aplicativo Android, é necessário que especialistas assinem seu produto . Durante a atualização, o sistema compara a assinatura do arquivo APK com a versão existente e, caso haja correspondência, o aplicativo é compilado em um arquivo DEX para rodar no dispositivo. A raiz do problema é que a vulnerabilidade está relacionada à capacidade de adicionar bytes extras aos arquivos APK e DEX. O arquivo APK é um arquivo zip que permite conter alguns bytes arbitrários no início, antes das entradas zip. Durante a assinatura, o JAR ignora quaisquer bytes adicionais além das entradas zip necessárias para verificar a assinatura do aplicativo. Por sua vez, o arquivo DEX contém bytes arbitrários no final. Assim, Janus combina um arquivo APK não modificado com um executável DEX modificado que não afeta a assinatura do aplicativo. Nesse caso, o sistema Android permitirá que você instale e execute o código do cabeçalho DEX. Ao mesmo tempo, os invasores têm a oportunidade de gerenciar permissões e substituir o aplicativo durante a próxima atualização.
Janus só poderá danificar aplicativos assinados usando um método baseado em JAR (Android 5.0 e superior). A partir do Android 7.0 Nougat, o método de assinatura JAR foi substituído pelo APK Signature Scheme v2, que fornece proteção para versões subsequentes.
GO TO FULL VERSION