29

„Janus” to nowa odkryta luka w Androidzie. Czy jest się czego obawiać?

Kolejne niebezpieczeństwo czeka na użytkowników Androida, którzy instalują aplikacje spoza sklepu Google. Czym jest Janus, jak ochronić się przed stojącymi za nim niebezpieczeństwami i czy faktycznie macie się czego obawiać?

Wielokrotnie mówi się o niebezpieczeństwach, które stoją za instalacją aplikacji spoza sklepu Google Play. Do tej pory jednak panowało przeświadczenie, że tak długo jak podpis twórców się zgadza — nic nam nie grozi. W ten sposób kontrolowane są aktualizacje, a twórcy i użytkownicy mogą spać spokojnie. Okazuje się jednak, że… nie do końca.

Belgijska firma GuardSquare zajmująca się bezpieczeństwem opublikowała raport, którego sporą część poświęciła odkrytej przez siebie luce znanej jako Janus. Ta pozwala hakerom na dodanie dodatkowych treści do pobieranych z zewnątrz plików, bez naruszania podpisu twórców.

Jak działa Janus?

Standardowo przy instalacji Android sprawdza podpis APK — i kiedy wszystko się zgadza, aplikacja jest kompilowana do pliku DEX, który uruchamiany jest na naszym urządzeniu. Janus obchodzi to zabezpieczenie modyfikując DEX — przez co podpis pozostaje nienaruszony. Android bez problemu zezwoli na instalację takiego pliku, a po uruchomieniu — złośliwy kod może zacząć siać spustoszenie w naszym sprzęcie. Oczywiście nie muszę dodawać, że najbardziej niebezpieczne są przy tym aplikacje z dużym pakietem praw dostępu (ze szczególnym uwzględnieniem systemowych), prawda?

Czy jest się czego bać?

I tak — i nie. Z jednej strony brzmi to groźnie, z drugiej strony możliwość przeprowadzenia ataku tą drogą jest dość mocno ograniczona. Podatne na ataki są urządzenia, które korzystają jeszcze z podpisów JAR. Warto mieć jednak na uwadze, że od Androida 7.0. Nougat zostały one zastąpione przez Signature Scheme v2. Automatycznie zatem na nowszych urządzeniach odpadają aplikacje systemowe — wciąż jednak pozostaje kwestia programów od innych twórców.

GuardSquare powiadomili Google o swoim odkryciu jeszcze w lipcu — i kilka dni temu do Androida zawitała stosowna łatka z zabezpieczeniami. Administratorzy jednego z najpopularniejszych serwisów z plikami APK — APKMirror, także poinformowali już, że pliki które znajdują się na ich platformie są bezpieczne. Zaaplikowali stosowny patch, ponadto sprawdzili całą bazę pod kątem ewentualnych modyfikacji. I jeżeli zdarzało wam się pobierać pliki z ich bazy, to możecie spać spokojnie — nie znaleziono żadnych śladów infekcji Janusem.