هشدار جدی در خصوص آسیب‌پذیری APK برنامه های sign شده

هشدار جدی در خصوص آسیب‌پذیری APK برنامه های sign شده
  • twiter
  • linked-in
  • whatsapp

اندروید از همان روز اول از توسعه دهندگان خواست تا برنامه‌های تولیدی خود را Sign کنند. زمانی‌که برنامه‌ای را آپدیت می‌کنید، اندروید نسخه آپدیت شده برنامه را با نسخه موجود مقایسه می‌کند. اگر دو برنامه با هم مطابقت داشتند، نسخه آپدیت شده برنامه اجازه نصب خواهد داشت.

به این طریق، توسعه دهندگان دیگر نباید نگرانی در خصوص APK های اصطلاح شده توسط سایر توسعه دهندگان داشته باشند و کاربران هم می‌توانند با خیالی آسوده نسخه آپدیت شده برنامه ها را دریافت، نصب و اجرا کنند.

GuardSquare، یک شرکت فعال در حوزه امنیت مستقر در بلژیک، امروز گزارشی در خصوص آسیب پذیری برنامه‌های اندرویدی  منتشر کرده است. به تازگی روشی به نام ‘Janus’ به مهاجمان اجازه می‌دهد تا بدون نیاز به شکستن signature، بتوانند APK برنامه را تغییر داده و محتوای بیشتری به آن اضافه کنند.

معمولا اندروید سیگنچر APK فایل‌ها را چک می‌کند و اگر با سیگنچر قبلی مطابقت داشت، برنامه در یک فایل DEX کامپایل شده و برای اجرا آماده می‌شود.

APK

Janus در واقع فایل APK بدون تغییر را با فایل DEX ترکیب می‌کند و این کار تاثیری بر روی Signature برنامه نخواهد گذاشت. سیستم اندروید هم اجازه نصب این نسخه آپدیت شده از برنامه را می‌دهد و برنامه با استفاده از کد هِدِر DEX اجرا می‌شود.

مشکل کار کجاست؟ Jenus با این کار در واقع به مهاجمان اجازه می‌دهد تا به راحتی نسخه‌ای جدید را با نسخه اصلی برنامه جایگزین کنند که می‌تواند شامل تغییراتی مانند مجوزهای دسترسی و برنامه‌های سیستمی و درنتیجه انتشار فایلی مخرب باشد.

لازم به ذکر است که دامنه این آسیب پذیری نسبتا محدود بوده و تنها بر برنامه‌های sign شده توسط نسخه اصلی مبتنی بر JAR اندروید، که با Signature Scheme v2 در اندروید 7.0 نوقا جایگزین شده اند، تاثیر خواهد گذاشت. برنامه‌هایی که از رویه جدید sign شدن در اندروید بهره می‌گیرند، از این آسیب در امان هستند.

این شرکت امنیتی بلژیکی، این خطا را در تاریخ 31 ژوئن به گوگل اعلام کرد و گوگل نیز در 5 دسامبر، یک پچ امنیتی به منظور برطرف کردن این مشکل منتشر کرد. گوگل اعلام کرد که آسیب پذیری‌های APKMirror نیز برطرف شده اند و بنابراین برنامه‌هایی که با روش Jenus اصلاح شده باشند، در گوگل پلی نمایش داده نخواهند شد.

مقالات مرتبط
دیدگاه شما
captcha
جدول فروش فیلم ها
  • 32.6 میلیون دلار
    Wonder Woman 1984
    اکران: 16 دسامبر 2020
  • 20.3 میلیون دلار
    The Croods: A New Age
    اکران: 16 دسامبر 2020
  • 17.6 میلیون دلار
    The War with Grandpa
    اکران: 02 سپتامبر 2020
  • 9 میلیون دلار
    Come Play
    اکران: 28 اکتبر 2020
  • 7.8 میلیون دلار
    Monster Hunter
    اکران: 18 دسامبر 2020
  • 7.1 میلیون دلار
    News of the World
    اکران: 25 دسامبر 2020
  • 4 میلیون دلار
    Fatale
    اکران: 18 دسامبر 2020
بازی ها
  • 01 بهمن 1399
    HITMAN 3
    پلی استیشن 4, پلی استیشن 5
  • 09 بهمن 1399
    The Medium
    پلی استیشن 4, ایکس باکس وان, پلی استیشن 5
  • 17 بهمن 1399
    Nioh / Nioh 2 Remastered
    پلی استیشن 4, پلی استیشن 5
  • 24 بهمن 1399
    Super Mario 3D World
    پلی استیشن 4, پلی استیشن 5
  • 28 اسفند 1399
    Prince of Persia Sands of Time Remake
    پلی استیشن 4, ایکس باکس وان, پلی استیشن 5