Android ha sempre chiesto agli sviluppatori di firmare le proprie applicazioni; quando un’app viene aggiornata, il sistema operativo di Big G confronterà le firme di applicazione e aggiornamento, e se queste corrispondono, quest’ultimo verrà correttamente installato. In questo modo, gli sviluppatori non devono preoccuparsi che eventuali APK modificati causino problemi, e gli utenti sono al sicuro.
GuardSquare, una società di sicurezza con sede in Belgio, ha pubblicato oggi un report relativo ad una nuova vulnerabilità Android soprannominata Janus; quest’ultima consente agli aggressori di aggiungere codice malevolo ad un APK, senza compromettere la firma. Normalmente, Android controlla la firma del file APK, e se corrisponde alla firma precedente, l’applicazione viene compilata in un file DEX ed eseguita sul dispositivo.
Janus funziona combinando un file APK non modificato con un eseguibile DEX modificato, che non pregiudica la firma dell’app. Android permette dunque l’installazione, avviando l’esecuzione del codice; quest’ultimo andrà a sostituirsi ad un’altra app con tutte le autorizzazioni già concesse.
Fortunatamente Janus non può infettare tutti i dispositivi in circolazione, funzionando solo su applicazioni firmate con JAR. Quest’ultimo è stato sostituito lo scorso anno dal nuovo Signature Scheme v2, rilasciato assieme ad Android 7.0 Nougat.