Los peligros de instalar una aplicación desde fuera de la tienda son siempre altos. Ya sea para conseguir una novedad que aún no ha llegado a nuestro dispositivo o para conseguir un APK que no sería compatible inicialmente con nuestro teléfono, confiamos ciegamente en las aplicaciones firmadas. Ahora alguien ha conseguido modificar el código de una aplicación sin necesidad de modificar la firma del archivo APK.
Muchos usuarios desconocen el uso de firmas en los archivos APK. Estas firmas sirven para que una aplicación solo pueda ser actualizada con aplicaciones con la misma firma. Si esta firma está en manos del desarrollador, nos aseguramos de que solo sean actualizaciones legítimas. En el caso contrario tenemos a las aplicaciones modificadas que nos piden desinstalar la aplicación antes de instalar el archivo APK. Esto sucede porque las aplicaciones tienen firmas distintas y se produciría un conflicto.
Esto era lo que sucedía hasta ahora. Si descargamos un archivo APK de Internet y se actualizaba sobre la aplicación anterior, podíamos confiar en que la firma coincidía. Ahora se ha hecho pública una investigación donde se ha conseguido modificar el contenido de un archivo APK metiendo código nuevo sin llegar a cambiar la firma de la aplicación.
La vulnerabilidad ha sido bautizada con el nombre de “Janus” y podría ser usado para sobrescribir, por ejemplo, una aplicación que tenga acceso a gran cantidad de permisos para, de esta forma, que la aplicación maliciosa siguiese pudiendo acceder a dichos permisos sin levantar sospechas.
Alcance limitado.
Como decimos el uso de archivos APK es útil para muchos usuarios que, por ahora, parecen no tener que preocuparse demasiado. Al parecer el alcance de Janus es limitado. Solo puede ser usada en aplicaciones firmadas con el método antiguo de firmas de aplicaciones (Existen 2 métodos). Además, la popular plataforma APKMirror ha confirmado que ninguna de sus aplicaciones se ha visto comprometida por lo que el riesgo sigue siendo el habitual de descargar una aplicación de Internet.