هشدار جدی در خصوص آسیب‌پذیری APK برنامه های sign شده

هشدار جدی در خصوص آسیب‌پذیری APK برنامه های sign شده
  • twiter
  • linked-in
  • whatsapp

اندروید از همان روز اول از توسعه دهندگان خواست تا برنامه‌های تولیدی خود را Sign کنند. زمانی‌که برنامه‌ای را آپدیت می‌کنید، اندروید نسخه آپدیت شده برنامه را با نسخه موجود مقایسه می‌کند. اگر دو برنامه با هم مطابقت داشتند، نسخه آپدیت شده برنامه اجازه نصب خواهد داشت.

به این طریق، توسعه دهندگان دیگر نباید نگرانی در خصوص APK های اصطلاح شده توسط سایر توسعه دهندگان داشته باشند و کاربران هم می‌توانند با خیالی آسوده نسخه آپدیت شده برنامه ها را دریافت، نصب و اجرا کنند.

GuardSquare، یک شرکت فعال در حوزه امنیت مستقر در بلژیک، امروز گزارشی در خصوص آسیب پذیری برنامه‌های اندرویدی  منتشر کرده است. به تازگی روشی به نام ‘Janus’ به مهاجمان اجازه می‌دهد تا بدون نیاز به شکستن signature، بتوانند APK برنامه را تغییر داده و محتوای بیشتری به آن اضافه کنند.

معمولا اندروید سیگنچر APK فایل‌ها را چک می‌کند و اگر با سیگنچر قبلی مطابقت داشت، برنامه در یک فایل DEX کامپایل شده و برای اجرا آماده می‌شود.

APK

Janus در واقع فایل APK بدون تغییر را با فایل DEX ترکیب می‌کند و این کار تاثیری بر روی Signature برنامه نخواهد گذاشت. سیستم اندروید هم اجازه نصب این نسخه آپدیت شده از برنامه را می‌دهد و برنامه با استفاده از کد هِدِر DEX اجرا می‌شود.

مشکل کار کجاست؟ Jenus با این کار در واقع به مهاجمان اجازه می‌دهد تا به راحتی نسخه‌ای جدید را با نسخه اصلی برنامه جایگزین کنند که می‌تواند شامل تغییراتی مانند مجوزهای دسترسی و برنامه‌های سیستمی و درنتیجه انتشار فایلی مخرب باشد.

لازم به ذکر است که دامنه این آسیب پذیری نسبتا محدود بوده و تنها بر برنامه‌های sign شده توسط نسخه اصلی مبتنی بر JAR اندروید، که با Signature Scheme v2 در اندروید 7.0 نوقا جایگزین شده اند، تاثیر خواهد گذاشت. برنامه‌هایی که از رویه جدید sign شدن در اندروید بهره می‌گیرند، از این آسیب در امان هستند.

این شرکت امنیتی بلژیکی، این خطا را در تاریخ 31 ژوئن به گوگل اعلام کرد و گوگل نیز در 5 دسامبر، یک پچ امنیتی به منظور برطرف کردن این مشکل منتشر کرد. گوگل اعلام کرد که آسیب پذیری‌های APKMirror نیز برطرف شده اند و بنابراین برنامه‌هایی که با روش Jenus اصلاح شده باشند، در گوگل پلی نمایش داده نخواهند شد.

مقالات مرتبط
دیدگاه شما
captcha
جدول فروش فیلم ها
  • 56 میلیون دلار
    The Croods: A New Age
    اکران: 16 دسامبر 2020
  • 14.8 میلیون دلار
    The Marksman
    اکران: 15 ژانویه 2021
  • 12.6 میلیون دلار
    News of the World
    اکران: 25 دسامبر 2020
  • 7 میلیون دلار
    Nobody
    اکران: 26 مارس 2021
  • 5.9 میلیون دلار
    Promising Young Woman
    اکران: 25 دسامبر 2020
  • 3.8 میلیون دلار
    Boogie
    اکران: 05 مارس 2021
  • 2.1 میلیون دلار
    Nomadland
    اکران: 19 فوریه 2021
  • 23 میلیارد تومان
    شنای پروانه
    اکران: 04 تیر 1399
  • 15.7 میلیارد تومان
    خوب، بد، جلف 2: ارتش سری
    اکران: 30 بهمن 1399
  • 8.56 میلیارد تومان
    آقای سانسور
    اکران: 26 شهریور 1399
  • 7.5 میلیارد تومان
    زن‌ها فرشته‌اند 2
    اکران: 25 تیر 1399
  • 6.4 میلیارد دلار
    دیدن این فیلم جرم است
    اکران: 16 دی 1399
  • 2.25 میلیارد دلار
    پیشی میشی
    اکران: 08 مهر 1399
  • 2.21 میلیارد تومان
    بی‌حسی موضعی
    اکران: 19 آبان 1399
  • 894 میلیون دلار
    آبادان یازده 60
    اکران: 16 دی 1399
  • 795 میلیون دلار
    تا ابد
    اکران: 15 مرداد 1399
  • 521 میلیون دلار
    روزهای نارنجی
    اکران: 24 شهریور 1399
بازی ها
  • 10 اردیبهشت 1400
  • 10 اردیبهشت 1400
    New Pokemon Snap
  • 17 اردیبهشت 1400
    Resident Evil 8: Village
    پلی استیشن 5, ایکس باکس سری ایکس
  • 03 خرداد 1400
    Deathloop
  • 01 تیر 1400
    Back 4 Blood
    پلی استیشن 5