Di recente è stata scoperta una nuova vulnerabilità chiamata “Janus” che consente a sviluppatori malintenzionati di modificare il contenuto di un file APK senza alterarne la firma. In questo modo, sembra come se l’aggiornamento sia avvenuto dallo sviluppatore originale.
Forse non tutti sanno che sin dalla prima versione di Android, per la realizzazione di un’applicazione (file APK) è necessario aggiungere al codice anche la propria “firma” o quella della propria azienda. In questo modo, è possible rimanere sicuri che quel determinato file è stato sviluppato da quello sviluppatore.
Nel caso di un aggiornamento, Android compara la “firma” della nuova applicazione con quella già installata e, se corrisponde, procede alla cancellazione di quella vecchia e all’installazione di quella nuova. In questo modo, gli sviluppatori non devono preoccuparsi degli APK modificati che causano problemi e gli utenti sono protetti.
La vulnerabilità Janus ovviamente crea scompiglio in questo sistema apparentemente perfetto. Janus funziona combinando un file APK non modificato con un eseguibile DEX modificato, che non influisce sulla firma dell’app. Il sistema Android consente l’installazione, quindi avvia l’esecuzione del codice dall’intestazione DEX.
Sottolineiamo che questa falla di sicurezza colpisce solamente gli smartphone aventi Android 6.0 Marshmallow o inferiori. Infatti, influisce solo sulle applicazioni firmate con lo schema di firma basato sul JAR originale di Android, che è stato sostituito con il Signature Scheme v2 con Android 7.0 Nougat.
A ogni modo, se siete fra coloro che scaricano applicazioni al di fuori del Play Store, è bene che facciate molta attenzione. Fino ad ora, nessuna applicazione “infettata” è stata caricata su APK Mirror, per cui rimane ancora il sito più affidabile dal quale scaricare gli APK delle app Android gratuite.