Janus-lek laat aanvallers apk’s aanpassen zonder aanpassing handtekening

11 december 2017 1 Minuut 0 Reacties
bronnen-van-buitenaf

Er is een nieuw lek (Janus) binnen apk-bestanden voor Android gevonden: aanvallers kunnen die aanpassen zonder de handtekening aan te passen. Dat betekent dat de inhoud van een app kan worden aangepast, zonder dat er ergens een alarm af zal gaan.

Janus-lek op Android

Sinds de eerste release van Android is het zo dat applicatie-ontwikkelaars een digitale handtekening moeten afgeven voor het lanceren van een app. Wanneer er dan een update voor die app verschijnt, kan Google checken of de handtekening nog steeds overeenkomt, waardoor de gebruiker er zeker van kan zijn dat de update geen malafide praktijken van buitenaf meeneemt. Het Belgische beveiligingsbedrijf GuardSquare heeft echter een nieuw lek ontdekt dat dit juist wel mogelijk maakt, en heeft het de naam Janus meegegeven.

Aanvallers zijn juist in staat apk-bestanden aan te passen, zonder dat daarmee de handtekening wordt aangepast. Wanneer er dus een update uitkomt, kan een kwaadwillend persoon de inhoud aanpassen en die verspreiden, met de correcte digitale handtekening aan boord. Bovenop een apk-bestand zit nog een dex-bestand. Kwaadwillenden hoeven het apk-bestand zelf niet aan te passen, maar kunnen wel dat dex-bestand veranderen. En door dat dex-bestand weer aan het apk-bestand toe te voegen, is verandering later dus mogelijk.

Gelukkig zal de schade van dit lek beperkt blijven. De apps waarmee dit mogelijk is, werken met een verouderde versie van het beveiligingsplatform dat Google gebruikt. Sinds Android 7.0 Nougat gebruikt Google een nieuwere versie, waardoor veel Android-apparaten dus niets van dit lek zullen merken. Alleen de apps die dus geen gebruikmaken van dit nieuwe platform én apps die buiten Google Play om worden geïnstalleerd kunnen hier last van hebben. Desondanks is het, zoals eigenlijk altijd, gewoon opletten geblazen.

Reacties (0)