Su Android la vulnerabilità Janus apre le porte ad APK infetti

Una nuova vulnerabilità di alto livello potrebbe mettere a repentaglio l’installazione sicura di APK su Android: il suo nome è Janus e ad una prima analisi, secondo i ricercatori di sicurezza, permetterebbe a malintenzionati di aggiungere contenuti malevoli ad un’applicazione, bypassando il processo di “signature” o firma digitale utile alla pubblicazione dell’app sugli Store.

La firma delle app Android è un mezzo necessario per assicurare l’installazione di un’app genuina, che provenga effettivamente dal developer che l’ha ideata: in questo modo si impedisce all’utente di avere sul proprio dispositivo delle app modificate, spesso ripiene di codice malevolo. Tuttavia, proprio a causa di Janus, anche il processo di signature non sembra essere poi così affidabile e indicativo di un’app non corrotta.

La vulnerabilità permetterebbe, in sintesi, di combinare un file APK (contenente l’applicazione) non modificato con un file DEX (in cui l’app è compilata per risultare idonea a funzionare sul dispositivo) modificato, che non altera la firma digitale dell’APK. Il sistema consentirebbe così l’installazione senza interferire in alcun modo: è evidente che questo processo può permettere, potenzialmente, di rimpiazzare numerose app con una versione modificata e sorprendentemente installabile senza problemi.

Tuttavia, come GuardSquare fa notare, la vulnerabilità Janus per Android ha un bacino di potenziali vittime limitato alle passate versioni del sistema operativo, in quanto colpirebbe esclusivamente le APK firmate con il metodo originale basato su JAR, obsoleto rispetto al nuovo Signature Scheme v2 apparso con Android 7.0 Nougat. Diversi app store e repository Android hanno già provveduto a fixare il problema, tuttavia è ovviamente necessaria prudenza nello scaricare applicazioni da fonti non sicure, come regola generale per ogni utente Android e non.

via