29

„Janus” to nowa odkryta luka w Androidzie. Czy jest się czego obawiać?

Kolejne niebezpieczeństwo czeka na użytkowników Androida, którzy instalują aplikacje spoza sklepu Google. Czym jest Janus, jak ochronić się przed stojącymi za nim niebezpieczeństwami i czy faktycznie macie się czego obawiać?

Wielokrotnie mówi się o niebezpieczeństwach, które stoją za instalacją aplikacji spoza sklepu Google Play. Do tej pory jednak panowało przeświadczenie, że tak długo jak podpis twórców się zgadza — nic nam nie grozi. W ten sposób kontrolowane są aktualizacje, a twórcy i użytkownicy mogą spać spokojnie. Okazuje się jednak, że… nie do końca.

Belgijska firma GuardSquare zajmująca się bezpieczeństwem opublikowała raport, którego sporą część poświęciła odkrytej przez siebie luce znanej jako Janus. Ta pozwala hakerom na dodanie dodatkowych treści do pobieranych z zewnątrz plików, bez naruszania podpisu twórców.

Jak działa Janus?

Standardowo przy instalacji Android sprawdza podpis APK — i kiedy wszystko się zgadza, aplikacja jest kompilowana do pliku DEX, który uruchamiany jest na naszym urządzeniu. Janus obchodzi to zabezpieczenie modyfikując DEX — przez co podpis pozostaje nienaruszony. Android bez problemu zezwoli na instalację takiego pliku, a po uruchomieniu — złośliwy kod może zacząć siać spustoszenie w naszym sprzęcie. Oczywiście nie muszę dodawać, że najbardziej niebezpieczne są przy tym aplikacje z dużym pakietem praw dostępu (ze szczególnym uwzględnieniem systemowych), prawda?

Czy jest się czego bać?

I tak — i nie. Z jednej strony brzmi to groźnie, z drugiej strony możliwość przeprowadzenia ataku tą drogą jest dość mocno ograniczona. Podatne na ataki są urządzenia, które korzystają jeszcze z podpisów JAR. Warto mieć jednak na uwadze, że od Androida 7.0. Nougat zostały one zastąpione przez Signature Scheme v2. Automatycznie zatem na nowszych urządzeniach odpadają aplikacje systemowe — wciąż jednak pozostaje kwestia programów od innych twórców.

GuardSquare powiadomili Google o swoim odkryciu jeszcze w lipcu — i kilka dni temu do Androida zawitała stosowna łatka z zabezpieczeniami. Administratorzy jednego z najpopularniejszych serwisów z plikami APK — APKMirror, także poinformowali już, że pliki które znajdują się na ich platformie są bezpieczne. Zaaplikowali stosowny patch, ponadto sprawdzili całą bazę pod kątem ewentualnych modyfikacji. I jeżeli zdarzało wam się pobierać pliki z ich bazy, to możecie spać spokojnie — nie znaleziono żadnych śladów infekcji Janusem.

  • indy

    Januse hackingu ;-)

  • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

    Janusz zrobi ci wjazd na telefon

  • doogopis

    Kolejna bzdura wyssana z palca! I kolejne zagrożenie które widział tylko Stivie Wonder i blogerzy w swoich bajkach!
    Zero zrzutów,skanów czy rzekomo zainfekowanych użądzeń!

    Może autor niech opisze zagrożenia jakie go dopadły! Nie? Ale ciężko pisać o niczym! Co nie?

  • zakius

    „Warto mieć jednak na uwadze, że od Androida 7.0. Nougat” no to faktycznie nie ma czym się przejmować :p

    • Dejv667

      Dokładnie, widać że ludzie nie mają się czym martwić.

  • nom

    Tak jakby podpisy, certyfikaty, zielone klodki byly jakims twardym zabezpieczeniem

  • perlusconi

    ten mobilny szrot to informatyczny rak. Piracki, nieaktualizowany XPek to był przy nim wzór bezpieczeństwa.

    • damianglu

      Jak wszystko co jest popularne :) jakoś o niepopularne systemy ich twórcy bardziej o nie dbaja. I pisze to ze smutkiem

    • Nazir

      Taka jest prawda że trolle od Google skutecznie zwalczali system od MS

    • Krzysztof Szmergiel

      Mówisz o tym co był zainfekowany w max 10 sekund po podłączeniu do internetu co objawiało się spektakularnym odliczaniem i restartem? Nie nie nie.

  • Dejv667

    Zaraz, zaraz… Poprawka kilka dni temu zgłoszenie było w lipcu? Czy Google to aby nie jest ta sama firma która ujawnia luki konkurencji dając im sporo mniej czasu na załatanie dziury?

    • Nazir

      Hipokryzja Google sięga zenitu

  • stefan

    Jak widać, mechanizm podpisywania aplikacji Androida to jakaś kompletna parodia. Nie dość że „urzędem certyfikacyjnym” jest programista, to na dodatek sam podpis jest nieskuteczny. ROTFL :D

    To chyba gorsze niż przetrzymywanie haseł w pliku TXT jak robiło to Allegro – Janusze IT.

    • Nazir

      Linux od zawsze był g*no wartym i nie rozumiem dlaczego Google nie zapłaciło za napisanie nowego systemu i zamkniętego a poszli na łatwiznę z jądrem Linux

    • Grubas

      Dlaczego się wypowiadasz, skoro nie rozumiesz?

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

      Aktualnie działa Signature Scheme v2 plus jest opcja, że to Google podpisuje apkę

  • Nazir

    Mam zasadę żadnego syfu nie instaluję z netu a tylko potrzebne sprawdzone aplikacje do komunikacji od Google i MS

  • Morski Morświn

    Luka Janus – kupić tani smartfon na allegro bez aktualizacji i z preinstalowanymi trojanami z chin, bangladeszu i innych indii…ale za to TANIO!

  • yo

    Jest Janus, będzie i Grazyna.

  • maxprzemo

    Nie czaję albo ktoś tutaj kręci. W pliku apk mamy folder META-INF w którym jest plik MANIFEST.MF w którym są sumy kontrolne SHA-256 wszystkich plików. Więc jeśli zostanie zmodyfikowany plik .dex to zmieni się suma kontrolna tego pliku i instalacja zostanie odrzucona.

    • Krzysztof Szmergiel

      Jak zwykle artykuł jest kompletnie mylący. Doczytałem u źródła i problem wynika z tego, że na bazie APK można stworzyć hybrydę poprzez wstrzyknięcie DEX do APK i zmianę flagi w nagłówku. Błąd w androidzie polega na tym, że walidacja nadal przeprowadzana jest jak APK a uruchamiany jest DEX. Oczywiście „niebezpieczeństwo” istnieje tylko i wyłącznie dla osób, które instalują APK spoza sklepu Play. W samym sklepie poprawka wykrywająca takie zmodyfikowane APK pojawiła się od razu po zgłoszeniu problemu. W tym przypadku nawet urządzenia ze starszą niż Nougat wersją androida są bezpieczne. Luka nie była aktywnie wykorzystywana.

  • Zjadacz Watrobka

    Warto mieć jednak na uwadze, że od Androida 7.0. Nougat zostały one zastąpione przez Signature Scheme v2.

    Super, wrażliwe jest tylko jakieś 80% urządzeń.

  • Daniel Stawicki

    „GuardSquare powiadomili Google o swoim odkryciu jeszcze w lipcu — i kilka dni temu do Androida zawitała stosowna łatka z zabezpieczeniami.” Czyli Google opracowywało patcha więcej niż tydzień? Jak to jest. Jak znajd lukę w produktach MS-u to twierdz że tydzień na załatanie to wystarczajco i po tygodniu publikuja exploita.

    • Krzysztof Szmergiel

      Tylko, jeżeli luka jest aktywnie wykorzystywana.