Бельгийские эксперты по безопасности GuardSquare опубликовали доклад о новой уязвимости в Android, с помощью которой злоумышленники могут добавлять контент в APK-файлы без нарушения их подписи. Новый баг получил кодовое название Janus. Специалисты рассказали, чем опасна «дыра» в системе защиты Android, а Google уже отреагировала на заявление и приняла меры.
Напомним, каждый установочный пакет в Android требует уникальной подписи. Система отклоняет установку обновлённого APK-файла, если подпись пакета не сходится с таковой у прежней версии приложения. В ином случае Android компилирует программу в DEX-файл и запускает его на устройстве.
Janus комбинирует оригинальный пакет APK с модифицированным DEX-файлом, поэтому система не распознаёт, что код приложения был скомпрометирован. Таким образом хакеры могли заменить любые программы, включая системные, на их вредоносные версии.
Баг полноценно работает только с оригинальной схемой JAR-подписей Android, которую заменили на Signature Scheme v2 начиная с Android 7.0 Nougat. Поэтому на поздних версиях ОС хакеры могли атаковать только ограниченное количество сторонних приложений, разработчики которых ещё не перешли на новый метод подписи APK.
GuardSquare рассказала об уязвимости Google ещё 31 июля. Разработчики Android отреагировали на заявление и интегрировали исправление с новейшим патчем безопасности 5 декабря. Пользователям Android-устройств рекомендуется установить последние обновления, чтобы обеспечить безопасность своих гаджетов.
Источник.