Угроза остается

Сотни миллионов пользователей Android могут потерять данные из-за приложений, которые не устранили ошибку безопасности

Огромное количество приложений в Google Play Store по-прежнему уязвимы для известной ошибки CVE-2020-8913.

Благодаря ей, с помощью одного уязвимого приложения злоумышленники могут получить данные из других программ на устройстве: логины, пароли, финансовые данные и почту.

  • Проблема коренится в широко используемой библиотеке Play Core, которая позволяет разработчикам загружать обновления и добавлять функциональные модули в приложения для Android.
  • Google исправил ошибку в апреле 2020 года, но разработчики приложений сами должны установить новую библиотеку Play Core, чтобы полностью устранить угрозу.
  • Исследователи Check Point случайным образом выбрали ряд известных приложений, чтобы проверить наличие уязвимости CVE-2020-8913. Уязвимость подтверждена в Grindr, Bumble, OKCupid, Cisco Teams, Moovit, Yango Pro, Edge, Xrecorder, PowerDirector

Впервые об этой бреши сообщили в конце августа исследователи Oversecured. Используя ее, злоумышленник может внедрить вредоносный код в уязвимые приложения, предоставляя доступ к ресурсам хост-приложения. В итоге хакер может получить доступ к конфиденциальным данным из других приложений на устройстве.

Проблема коренится в широко используемой библиотеке Play Core, которая позволяет разработчикам загружать обновления и добавлять функциональные модули в приложения для Android. Уязвимость дает возможность добавлять исполняемые модули в любые приложения, которые используют библиотеку. Если злоумышленник получает доступ к одному вредоносному приложению на устройстве жертвы, то дальше он может украсть ее личную информацию: логины, пароли, финансовые данные, письма в почте.

Разработчикам нужно как можно быстрее обновить приложения

Google признал и исправил ошибку 6 апреля 2020 года, присвоив ей 8,8 баллов из 10 по серьезности. Однако, чтобы полностью устранить угрозу, разработчики должны были внедрить патч в свои приложения. Исследователи Check Point случайным образом выбрали несколько известных приложений, чтобы посмотреть, кто действительно внедрил исправление, предоставленное Google.

Исследователи нашли уязвимые приложения

В течение сентября 2020 года 13% приложений Google Play из всех проанализированных специалистами Check Point, использовали библиотеку Play Core. При этом у 8% из них были уязвимые версии. Эти приложения для Android все еще были уязвимы:

  • Viber
  • Booking
  • Cisco Teams
  • Yango Pro (таксометр), Moovit (Карты и навигация)
  • Grindr, OKCupid, Bumble (приложения для знакомств)
  • Edge (браузер)
  • Xrecorder, PowerDirector (утилиты)

Перед этой публикацией исследователи уведомили все приложения об уязвимости и необходимости обновить версию библиотеки. Дальнейшие тесты показали, что Viber и Booking внесли необходимые исправления после уведомления Check Point.

«По нашим оценкам, в опасности находятся сотни миллионов пользователей Android, – рассказывает Авиран Хазум, менеджер по мобильным исследованиям Check Point Software Technologies. – Хотя Google внедрила патч, многие приложения по-прежнему используют устаревшие библиотеки Play Core. Уязвимость CVE-2020-8913 очень опасна. Если вредоносное приложение использует эту брешь, оно может получить доступ к тем же данным, что и уязвимая программа. Если киберпреступник внедрит код в приложения социальных сетей, он сможет шпионить за жертвами, если введет код в мессенджеры – получит доступ ко всем сообщениям. Возможности атаки здесь ограничены только воображением злоумышленников».

Реакция Google

Исследователи Check Point связались с Google и передали результаты своих исследований. Комментарий Google: «Соответствующая уязвимость CVE-2020-8913 не существует в последних верси-ях Play Core».

 

Похожие записи