Android ha sempre chiesto agli sviluppatori di firmare le proprie applicazioni; quando un’app viene aggiornata, il sistema operativo di Big G confronterà le firme di applicazione e aggiornamento, e se queste corrispondono, quest’ultimo verrà correttamente installato. In questo modo, gli sviluppatori non devono preoccuparsi che eventuali APK modificati causino problemi, e gli utenti sono al sicuro.

GuardSquare, una società di sicurezza con sede in Belgio, ha pubblicato oggi un report relativo ad una nuova vulnerabilità Android soprannominata Janus; quest’ultima consente agli aggressori di aggiungere codice malevolo ad un APK, senza compromettere la firma. Normalmente, Android controlla la firma del file APK, e se corrisponde alla firma precedente, l’applicazione viene compilata in un file DEX ed eseguita sul dispositivo.

Janus funziona combinando un file APK non modificato con un eseguibile DEX modificato, che non pregiudica la firma dell’app. Android permette dunque l’installazione, avviando l’esecuzione del codice; quest’ultimo andrà a sostituirsi ad un’altra app con tutte le autorizzazioni già concesse.

Leggi anche:  Android: le 14 applicazioni Gratis oggi che non devono mancare sullo smartphone

 

Fortunatamente Janus non può infettare tutti i dispositivi in circolazione, funzionando solo su applicazioni firmate con JAR. Quest’ultimo è stato sostituito lo scorso anno dal nuovo  Signature Scheme v2, rilasciato assieme ad Android 7.0 Nougat.

GuardSquare ha segnalato la vulnerabilità a Google il 31 luglio, e la correzione è avvenuta con il rilascio delle patch di sicurezza del 5 dicembre. Anche APKMirror ha preso gli opportuni provvedimenti, quindi le applicazioni modificate con questo metodo non appariranno sul sito. Inoltre, nessuna app modificata è stato mai caricato su APKMirror.