È possibile che qualcuno decompilino un apk Android di un'applicazione legittima e inietti un codice dannoso, ricompilalo e distribuisca? I tecnici IT della nostra azienda hanno implementato alcune app nei nostri telefoni cellulari (BYOD) e sono un po 'preoccupato.
Possibile sì, ma non si installerebbe come la stessa app. Anche la maggior parte delle app (tutte?) Su Google Play sono firmate con un certificato con garanzia dell'autenticità.
Un esempio: Prendono l'app YouTube ufficiale, la modificano e sostituiscono la vera app YouTube sul tuo dispositivo con il loro falso. In Google Play, l'app mostrerà "Non installato" e potrai installare quello reale parallelo a quello falso. Il motivo è la diversa firma e forse diversi nomi di pacchetti.
Confermando quanto detto da DBX12, tutti i pacchetti Android (APK) devono essere firmati per essere installati su un dispositivo Android: "Android richiede che tutti gli APK siano firmati digitalmente con un certificato prima di poter essere installati." App Firma nello sviluppatore Android
Essendo così, un modo semplice per scoprire se i ragazzi IT hanno iniettato il codice in un'applicazione nota di Google Play è confrontare la firma del campione contenuto nei tuoi telefoni con l'APK di Play Store.
Poiché la chiave privata per firmare l'applicazione dagli sviluppatori originali non può essere riprodotta dal tuo team IT e per modificare qualsiasi file nel pacchetto deve essere riscritta, il confronto tra le firme è un metodo efficace. Controlla Come posso verificare il autenticità di un file APK che ho scaricato? su StackExchange Android per suggerimenti su questo.
È possibile che il personale IT inserisca codice dannoso e distribuisca le app sui dispositivi. Il modo migliore per analizzare questo è l'analisi statica e dinamica della tua applicazione. Non so se possiedi le capacità tecniche per farlo, ma seguire è ciò che puoi fare per analizzare le tue app appena installate.
Ottieni l'apk dal tuo reparto IT (se non devi fare il root del tuo dispositivo e ottenere l'apk. Il rooting non è comunque una buona pratica).
Decomprimi il file apk (è solo un file zip con estensione diversa). Compilare il .dex decompresso utilizzando lo strumento come dex2jar . Questo ti darà un file jar. Utilizzare uno strumento come JD-GUI per analizzare i file java. Puoi ottenere i livelli di autorizzazione di Android nel file manifest e analizzare il codice sorgente per trovare eventuali caricamenti di dati, ecc.
L'analisi dinamica è un po 'più complessa di questa e coinvolge alcuni strumenti come Wireshark e l'analisi delle comunicazioni esterne, ecc.