Опасная уязвимость в Android позволяет обойти подпись приложения

Опасная уязвимость в Android позволяет обойти подпись приложения

Проблема Janus позволяет злоумышленникам модифицировать код Android-приложений, не нарушая их цифровую подпись.

Миллионы Android-устройств находятся в зоне риска в связи с новой опасной уязвимостью, проэксплуатировав которую атакующие могут заменить установленные на гаджете легитимные версии приложений вредоносными.

Проблема (CVE-2017-13156), получившая название Janus, позволяет злоумышленникам модифицировать код Android-приложений, не нарушая их цифровую подпись. Уязвимость затрагивает приложения, использующие схему подписи APK Signature Scheme v1 (Android 5.0 и выше). Отметим, в Android 7.0 Nougat данный метод заменен на APK Signature Scheme v2, который уже имеет защиту.

Уязвимость связана с процессом установки Android APK некоторых приложений, предоставляющим возможность добавления дополнительных байтов кода в APK файл без нарушения цифровой подписи. Как правило, если проверка подписи проходит успешно, программа скомпилируется в файл формата DEX для последующей работы на устройстве. Суть проблемы заключается в том, что она позволяет объединить оригинальный APK с модифицированным исполняемым файлом DEX (Dalvik EXecutable). В этом случае система установит приложение, а затем запустит код из заголовка DEX. Другими словами, злоумышленникам не потребуется изменять код легитимного приложения, они могут просто добавить несколько строк вредоносного кода в оригинальную программу.

Создав вредоносную версию легитимного приложения, злоумышленники могут распространять ее различными способами, например, посредством спам-рассылок, атак «человек посередине» или через сторонние магазины приложений.

Как пояснили исследователи GuardSquare, обнаружившие уязвимость, обмануть пользователя достаточно легко, поскольку вредоносная версия приложения ничем не отличается от легитимной и обладает настоящей цифровой подписью.

Эксперты проинформировали Google об уязвимости летом текущего года. Компания выпустила соответствующее исправление в рамках пакета декабрьских обновлений безопасности для Android. Плохая новость заключается в том, что большинство владельцев Android-устройств получат корректирующие обновления не раньше следующего месяца, когда производители выпустят соответствующие патчи.

Так как данная уязвимость не затрагивает Android 7 (Nougat), пользователям, устройства которых работают на более ранних версиях Android, рекомендуется обновить ОС. Если по каким-либо причинам это невозможно, эксперты советуют не устанавливать приложения и обновления из сторонних источников для минимизации риска взлома.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!