Scribd Logo
Upload

Welcome to Scribd!

  • A Serious Vulnerability

    Uploaded by

    Christian Baidal
    16 views2 pages
    seguridad

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    seguridad

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    16 views2 pages

    A Serious Vulnerability

    Uploaded by

    Christian Baidal
    seguridad

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 2

    A serious vulnerability (CVE-2017-13156) in Android allows attackers to modify the code in applications

    without affecting their signatures. The root of the problem is that a file can be a valid APK file and a valid
    DEX file at the same time.

    Although Android applications are self-signed, signature verification is important when updating
    Android applications. When the user downloads an update of an application, the Android runtime
    compares its signature with the signature of the original version. If the signatures match, the Android
    runtime proceeds to install the update. The updated application inherits the permissions of the original
    application. Attackers can, therefore, use the Janus vulnerability to mislead the update process and get
    unverified code with powerful permissions installed on the devices of unsuspecting users.

    An attacker can replace a trusted application with high privileges (a system app, for instance) by a
    modified update to abuse its permissions. Depending on the targeted application, this could enable the
    hacker to access sensitive information stored on the device or even take over the device completely.
    Alternatively, an attacker can pass a modified clone of a sensitive application as a legitimate update, for
    instance in the context of banking or communications. The cloned application can look and behave like
    the original application but inject malicious behavior.

    The Janus vulnerability affects recent Android devices (Android 5.0 and newer). Applications that have
    been signed with APK signature scheme v2 and that are running on devices supporting the latest
    signature scheme (Android 7.0 and newer) are protected against the vulnerability. Unlike scheme
    v1,Older versions of applications and newer applications running on older devices remain susceptible.

    https://www.guardsquare.com/en/blog/new-android-vulnerability-allows-attackers-modify-apps-
    without-affecting-their-signatures
    Una vulnerabilidad grave (CVE-2017-13156) en Android permite a los atacantes modificar el código en
    las aplicaciones sin afectar sus firmas. La raíz del problema es que un archivo puede ser un archivo APK
    válido y un archivo DEX válido al mismo tiempo.

    Aunque las aplicaciones de Android son autofirmadas, la verificación de firmas es importante al


    actualizar las aplicaciones de Android. Cuando el usuario descarga una actualización de una aplicación,
    el tiempo de ejecución de Android compara su firma con la firma de la versión original. Si las firmas
    coinciden, el tiempo de ejecución de Android procede a instalar la actualización. La aplicación
    actualizada hereda los permisos de la aplicación original. Los atacantes pueden, por lo tanto, usar la
    vulnerabilidad Janus para confundir el proceso de actualización y obtener código no verificado con
    potentes permisos instalados en los dispositivos de usuarios desprevenidos.

    Un atacante puede reemplazar una aplicación confiable con altos privilegios (una aplicación del sistema,
    por ejemplo) por una actualización modificada para abusar de sus permisos. Dependiendo de la
    aplicación específica, esto podría permitir al pirata informático acceder a la información confidencial
    almacenada en el dispositivo o incluso hacerse cargo del dispositivo por completo. Alternativamente, un
    atacante puede pasar un clon modificado de una aplicación sensible como una actualización legítima,
    por ejemplo, en el contexto de la banca o las comunicaciones. La aplicación clonada puede verse y
    comportarse como la aplicación original, pero inyectar un comportamiento malicioso.

    La vulnerabilidad de Janus afecta a dispositivos Android recientes (Android 5.0 y versiones posteriores).
    Las aplicaciones que se han firmado con el esquema de firma APK v2 y que se ejecutan en dispositivos
    que admiten el esquema de firma más reciente (Android 7.0 y versiones posteriores) están protegidas
    contra la vulnerabilidad. A diferencia del esquema v1, las versiones anteriores de las aplicaciones y las
    aplicaciones más recientes que se ejecutan en dispositivos más antiguos siguen siendo susceptibles.

    https://www.guardsquare.com/en/blog/new-android-vulnerability-allows-attackers-modify-apps-
    without-affecting-their-signatures

    You might also like