La nuova minaccia per i gadget mobile basati sul sistema operativo Android si chiama Janus , nome che evoca la mitologia romana (Giano bifronte) ma che ha conseguenze che più moderne non potrebbero: sfruttata a dovere, la falla garantisce un vettore di attacco estremamente capace e mette potenzialmente a rischio la sicurezza e i dati degli utenti.
Alla base di Janus c’è lo schema v1 adoperato da Google per la firma digitale dei pacchetti di app ( .apk ), un controllo adoperato dall’OS mobile per verificare che una app sia esattamente quella che dice di essere e non sia stata contraffatta con l’introduzione di codice malevolo.
E invece i ricercatori hanno trovato il modo di iniettare componenti malevoli nei pacchetti APK sotto forma di file eseguibili. dex , impedendo per giunta ad Android di accorgersi della modifica: al controllo successivo, l’OS verifica la firma del pacchetto APK come legittima lasciando l’eseguibile malevolo al suo interno intatto.
I cyber-criminali potrebbero sfruttare Janus per compromettere app teoricamente legittime, dotandole di funzionalità pericolose per rubare dati, credenziali di accesso finanziarie e altro ancora, con un danno ancora maggiore derivante dal camuffamento perfetto del payload in formato DEX all’interno di un contenitore APK apparentemente normale.
Fortunatamente, per l’utenza Android, la falla di Janus non è sfruttabile con lo schema di firma digitale v2 ed è già stata corretta con l’ aggiornamento di dicembre rilasciato da Google . Sfortunatamente però, per l’utenza Android, la patch è al momento disponibile solo per gli utenti di dispositivi marcati Google, mentre spetterà ai produttori di terze parti e ai carrier telefonici decidere quando distribuire l’update a tutti gli altri.
Alfonso Maruccia