You are on page 1of 2

A serious vulnerability (CVE-2017-13156) in Android allows attackers to modify the code in applications

without affecting their signatures. The root of the problem is that a file can be a valid APK file and a valid
DEX file at the same time.

Although Android applications are self-signed, signature verification is important when updating
Android applications. When the user downloads an update of an application, the Android runtime
compares its signature with the signature of the original version. If the signatures match, the Android
runtime proceeds to install the update. The updated application inherits the permissions of the original
application. Attackers can, therefore, use the Janus vulnerability to mislead the update process and get
unverified code with powerful permissions installed on the devices of unsuspecting users.

An attacker can replace a trusted application with high privileges (a system app, for instance) by a
modified update to abuse its permissions. Depending on the targeted application, this could enable the
hacker to access sensitive information stored on the device or even take over the device completely.
Alternatively, an attacker can pass a modified clone of a sensitive application as a legitimate update, for
instance in the context of banking or communications. The cloned application can look and behave like
the original application but inject malicious behavior.

The Janus vulnerability affects recent Android devices (Android 5.0 and newer). Applications that have
been signed with APK signature scheme v2 and that are running on devices supporting the latest
signature scheme (Android 7.0 and newer) are protected against the vulnerability. Unlike scheme
v1,Older versions of applications and newer applications running on older devices remain susceptible.

https://www.guardsquare.com/en/blog/new-android-vulnerability-allows-attackers-modify-apps-
without-affecting-their-signatures
Una vulnerabilidad grave (CVE-2017-13156) en Android permite a los atacantes modificar el código en
las aplicaciones sin afectar sus firmas. La raíz del problema es que un archivo puede ser un archivo APK
válido y un archivo DEX válido al mismo tiempo.

Aunque las aplicaciones de Android son autofirmadas, la verificación de firmas es importante al


actualizar las aplicaciones de Android. Cuando el usuario descarga una actualización de una aplicación,
el tiempo de ejecución de Android compara su firma con la firma de la versión original. Si las firmas
coinciden, el tiempo de ejecución de Android procede a instalar la actualización. La aplicación
actualizada hereda los permisos de la aplicación original. Los atacantes pueden, por lo tanto, usar la
vulnerabilidad Janus para confundir el proceso de actualización y obtener código no verificado con
potentes permisos instalados en los dispositivos de usuarios desprevenidos.

Un atacante puede reemplazar una aplicación confiable con altos privilegios (una aplicación del sistema,
por ejemplo) por una actualización modificada para abusar de sus permisos. Dependiendo de la
aplicación específica, esto podría permitir al pirata informático acceder a la información confidencial
almacenada en el dispositivo o incluso hacerse cargo del dispositivo por completo. Alternativamente, un
atacante puede pasar un clon modificado de una aplicación sensible como una actualización legítima,
por ejemplo, en el contexto de la banca o las comunicaciones. La aplicación clonada puede verse y
comportarse como la aplicación original, pero inyectar un comportamiento malicioso.

La vulnerabilidad de Janus afecta a dispositivos Android recientes (Android 5.0 y versiones posteriores).
Las aplicaciones que se han firmado con el esquema de firma APK v2 y que se ejecutan en dispositivos
que admiten el esquema de firma más reciente (Android 7.0 y versiones posteriores) están protegidas
contra la vulnerabilidad. A diferencia del esquema v1, las versiones anteriores de las aplicaciones y las
aplicaciones más recientes que se ejecutan en dispositivos más antiguos siguen siendo susceptibles.

https://www.guardsquare.com/en/blog/new-android-vulnerability-allows-attackers-modify-apps-
without-affecting-their-signatures