Выявлен опасный баг в ОС Android

Специалисты по кибербезопасности из компании GuardSquare сообщили о серьёзном баге, благодаря которому злоумышленники могут интегрировать вредоносный код в любое приложение операционной системы Android. Новый баг получил название Janus, с его помощью можно вносить изменения в APK файлы без нарушение цифровой подписи.

В ОС Android имеется своя защита основанная на цифровой подписи в APK файлах. Так если обновление приложения выходит с изменённой цифровой подписью, то Android блокирует обновление, а если цифровая подпись в порядке, то обновление компилируются в DEX-файлы и происходит запуск. Janus сочетает в своей работе APK файлы с DEX файлами, за счёт чего может предоставить доступ к изменению содержимого без изменения цифровой подписи.

Данная уязвимость сильно актуальна для Android версиями ниже 7.0, так как там используется система JAR подписей. В Android версии 7.0. и выше систему перевели на новую технологию подписей Signature Scheme v2, а следовательно в большей своей части обезопасили систему от уязвимости. В Google уже знают о проблеме и приняли меры по защите гаджетов. В новых обновлениях Android уже устранён данный баг, но проблема заключается в том, что старые версии Android установлены на старые смартфоны, обновление к которым далеко не все компании производители вообще выпускают.