En más de una ocasión hemos hablado de los peligros de instalar aplicaciones manualmente cuando desconocemos su origen. GuardSquare, una empresa dedicada a la seguridad digital, ha lanzado un informe explicando una nueva vulnerabilidad llamada Janus que permite infectar aplicaciones de manera muy sutil.
Cuando actualizamos una aplicación, Android verifica con un proceso comparando la firma anterior con la nueva. Si coincide, se instala la nueva versión. Janus evita este paso de seguridad y hace que se pueda incorporar código malicioso sin que nos demos cuenta. Podemos estar tranquilos eso sí, su alcance es muy limitado.
Un fallo con las patas muy cortas
En Android una aplicación se compone de un archivo APK, el que a veces bajamos y descargamos cuando instalamos una app manualmente, que es básicamente un documento comprimido con bits aleatorios al comienzo y posteriormente contiene todos los archivos y datos de la aplicación. Por otro lado tenemos un archivo DEX, que hace de cabezal y es independiente de la verificación de la firma por lo que se puede modificar y añadir contenido.
Es decir, se puede instalar sin que nos demos cuenta una aplicación que sea idéntica a la que estábamos usando antes de actualizarla pero con alguna función maliciosa que no se ve a simple vista. Esta vulnerabilidad fue enviada a Google por parte de GuardSquare en verano y revisada en noviembre, publicándose el aviso en el boletín de seguridad de Android de diciembre.
¿Tenemos que preocuparnos de este malware? No mucho, su alcance es muy limitado y tienen que darse unas circunstancias muy específicas para que nos podamos contagiar. Lo primero de todo: si tenemos un móvil con Android 7.0 Nougat y sólo bajamos apps desde Google Play, no tenemos que preocuparnos ni lo más mínimo.
Desde hace tiempo, Google utiliza signature scheme v2 que impide que Janus funcione por lo que cualquier Android que baje apps desde la tienda de aplicaciones Google Play o tenga el móvil medianamente actualizado, puede seguir usando las apps como hasta ahora. Aunque hemos sabido de este fallo ahora mismo, podemos ver que hay poco de qué preocuparse.
¿Dónde puede venir el riesgo? Si tenemos un móvil con Marshmallow y usamos aplicaciones antiguas que usen signature scheme v1 para verificar las firmas. Estamos hablando de apps que hace mucho que no se actualizan o directamente han sido abandonadas por sus creadores. Si sospecháis que tenéis una app de este estilo, tened cuidado pero es muy poco probable que os toque.
¿Qué ocurre con páginas donde podemos descargar APKs como APK Mirror? Que hay que revisar si han tomado medidas para parchear esta vulnerabilidad. En el caso concreto de APK Mirror, han revisado todo el contenido de manera exhaustiva y Artem, su fundador, asegura que está todo en orden y que originalmente no tenían ninguna aplicación con signature scheme v1.
Vía | Android Police
