Janus güvenlik açığı, saldırganların uygulamaları imzalarını etkilemeden değiştirmesine olanak tanır. GuardSquare tarafından keşfedildi ve Google tarafından düzeltildi.
Android çok sayıda cihaza kuruludur ve bu da onu kötü niyetli saldırganların hedefi haline getirir. Google'ın mobil işletim sistemindeki güvenlik açıkları her ay keşfedilmeye devam ediyor ancak iyi haber şu ki Google genellikle bunları düzenli güvenlik yamalarıyla düzeltmeye özen gösterir ve bunlar daha sonra OEM'lere sunulur ve OEM'ler de bunları OEM'lere gönderir. cihazlar.
Son zamanlarda güvenlik araştırmacıları bir güvenlik açığını ortaya çıkardı Bu, kullanıcıları kandırarak saldırganların cihazlarının ekranını kaydetmesine izin vermesini sağladı. Bu özel istismar Android Oreo'da düzeltildi ancak analistler Muhafız Meydanı yakın zamanda eski imza şemaları tarafından imzalanan Android uygulamalarını etkileyen başka bir ciddi güvenlik açığını bildirdi.
Muhafız Meydanı' raporu şunu belirtiyor: Janusgüvenlik açığı Android'deki (CVE-2017-13156), saldırganların imzalarını etkilemeden uygulamalardaki kodu değiştirmesine olanak tanır. Raporda, güvenlik açığının kökeninin, bir dosyanın aynı anda geçerli bir APK dosyası ve geçerli bir DEX dosyası olabilmesi olduğu belirtiliyor.
Janus, APK dosyalarında ve DEX dosyalarında ekstra baytların fark edilmemesi gerçeğinden yararlanır. Muhafız Meydanı Rapor, bir APK dosyasının, ZIP girişlerinin başında, öncesinde ve arasında isteğe bağlı baytlar içerebilen bir ZIP arşivi olduğunu açıklıyor. JAR imza şeması, uygulamanın imzasını hesaplarken veya doğrularken ekstra baytları göz ardı ederek yalnızca ZIP girişlerini dikkate alır.
Öte yandan, bir DEX dosyasının, dizelerin, sınıfların, yöntem tanımlarının vb. normal bölümlerinden sonra, sonunda isteğe bağlı baytlar içerebileceğini açıklamaya devam ediyor. Bu nedenle bir dosya aynı anda geçerli bir APK dosyası ve geçerli bir DEX dosyası olabilir.
Muhafız Meydanı ayrıca güvenlik açığının önemli bir unsurunun Dalvik/ART sanal makinesinin "zararsız" bir özelliği olduğunu belirtiyor. Rapor, teorik olarak Android çalışma zamanının APK dosyasını yüklediğini, DEX dosyasını çıkardığını ve ardından kodunu çalıştırdığını belirtiyor. Ancak pratikte sanal makine (VM) hem APK dosyalarını hem de DEX dosyalarını yükleyebilir ve çalıştırabilir. Sorun şu ki, VM bir APK dosyası aldığında, bunun hangi tür dosya olduğuna karar vermek için hala başlıktaki sihirli baytlara bakıyor: DEX veya APK. Bir DEX başlığı bulduğunda dosyayı bir DEX dosyası olarak yükler. Bir başlık bulamazsa dosyayı DEX dosyasına sahip bir zip girişi içeren bir APK dosyası olarak yükler. Böylece ikili DEX/APK dosyalarını yanlış yorumlayabilir.
Muhafız Meydanı Bir saldırganın, imzasını etkilemeden normal bir APK dosyasına kötü amaçlı bir DEX dosyası eklemek için VM'nin bu ikililik özelliğinden yararlanabileceğini söylüyor. Android çalışma zamanı, APK dosyasını meşru bir önceki uygulama sürümüne yönelik geçerli bir güncelleme olarak kabul edecektir, ancak Dalvik VM, kötü amaçlı kod enjekte edilen DEX dosyasındaki kodu yükleyecektir.
Normalde, bir kullanıcı bir uygulamanın güncellenmiş bir sürümünü yüklediğinde, uygulamanın imzası, eski sürümle eşleştiğinden emin olmak için Android çalışma zamanı tarafından doğrulanır. Doğrulama olumlu olduğunda güncellenen uygulama, orijinal uygulamaya verilen izinleri alır. Bu şekilde saldırganlar, imza doğrulama sürecini atlamak ve şüphelenmeyen kullanıcıların cihazlarına doğrulanmamış kod yüklemek için Janus güvenlik açığını kullanabilir.
Daha da kötüsü, bu doğrulanmamış kodun güçlü izinlere erişim sağlayabilmesidir. Bu da bazı ciddi olasılıkları doğuruyor. Muhafız Meydanı şunu belirtir:
"Bir saldırgan, yüksek ayrıcalıklara sahip güvenilir bir uygulamayı (örneğin bir sistem uygulaması), izinlerini kötüye kullanmak amacıyla değiştirilmiş bir güncellemeyle değiştirebilir. Hedeflenen uygulamaya bağlı olarak bu, bilgisayar korsanının cihazda depolanan hassas bilgilere erişmesine ve hatta cihazı tamamen ele geçirmesine olanak tanıyabilir. Alternatif olarak, bir saldırgan, hassas bir uygulamanın değiştirilmiş bir klonunu, orijinal uygulama gibi görünüp davranabilen ancak kötü niyetli davranışlara neden olan meşru bir güncelleme olarak iletebilir."
Şirket, şu ana kadar Janus'u istismar eden herhangi bir uygulama görmediklerini ekledi. Diğer iyi haber ise güvenlik açığının, kullanıcının Google Play Store dışındaki bir kaynaktan kötü amaçlı bir güncelleme yüklemesini gerektirmesidir. Bu nedenle uygulama yüklemelerini Play Store ile sınırlayan kullanıcılar korunur.
Janus güvenlik açığı Android 5.0+ çalıştıran cihazları etkiliyor. APK imza şeması v1 ile imzalanmış uygulamalar etkilenir. İmza şeması v2 ile imzalanan APK'lar güvenlik açığına karşı korunuyor. Bu, APK'ların en son imza şemasını (Android 7.0 ve daha yenisi) destekleyen cihazlarda çalışmasını gerektirir. Şema v2 korumalıdır çünkü şema v1'den farklı olarak APK dosyasındaki tüm baytları dikkate alır.
"Uygulamaların eski sürümleri ve eski cihazlarda çalışan yeni uygulamalar risk altında olmaya devam ediyor. Geliştiriciler en azından her zaman imza şeması v2'yi uygulamalıdır." Muhafız Meydanı devletler.
Muhafız Meydanı bu sorunu 31 Temmuz 2017'de Google'a bildirdi ve aynı gün onay aldı. Şirketin raporu, Google'ın Kasım ayında ortaklarına bir yama yayınladığını ve hatayı (CVE-2017-13156) 4 Aralık 2017'de Android Güvenlik Bülteni'nde yayınladığını söylüyor. Güvenlik açığı var Aralık 2017 Android güvenlik düzeltme ekinde düzeltildi. Ayrı olarak, resmi depolarındaki F-Droid uygulamalarının güvenli olduğu doğrulandı. Son olarak güvenlik açığının yamalandığı doğrulandı. APKAyna.
Kaynak: GuardSquare