Come nello stile di molti fumetti, anche le applicazioni e i file APK potrebbero avere una versione malvagia, un gemello cattivo che nasconde minacce per gli utenti; per evitare questo Android ha da sempre previsto un sistema di firma delle applicazioni da parte degli sviluppatori: se la firma non coincide, gli aggiornamenti non vengono installati, e quindi gli sviluppatori possono non preoccuparsi di APK modificati da altri.
Una vulnerabilità chiamata Janus e scovata all’interno di Android avrebbe però messo a rischio questo sistema, permettendo a malintenzionati di aggiungere nuovo contenuto all’APK senza andare a compromettere la firma e permettendo quindi al sistema di riconoscere correttamente l’applicazione.
Per funzionare, Janus combina un APK non modificato con un file eseguibile DEX modificato, ma tranquilli: la vulnerabilità, oltre ad essere stata risolta con la patch di dicembre, affliggerebbe solo le applicazioni sviluppate con l’originale sistema di firma JAR, ora sostituito con il Signature Scheme v2 per tutte le app indirizzate ad Android 7.0 Nougat.
Lo stesso APKMirror, fonte inesauribile di file APK da tutti ritenuta affidabile, ha già provveduto a mettere una pezza contro questa vulnerabilità (gli APK modificati in questo modo non verranno mostrati), e ha inoltre verificato come nessuna applicazione modificata in questo modo sia mai stata caricata sul sito.
Per maggiori informazioni vi rimandiamo al sito di GuardSquare, che ha identificato questa vulnerabilità.