Alla fine di agosto è stata segnalata una grave vulnerabilità per la libreria principale di Google Play.
Noto come CVE-2020-8913, il difetto mette in pericolo molte app Android ampiamente utilizzate come Grindr, Cisco Teams, Microsoft Edge, Booking.com, Viber, OkCupid. Una nuova ricerca di Check Point rivela che molte di queste app di alto profilo eseguono ancora la versione senza patch della libreria principale di Google Play. Il bug è valutato 8.8 su 10 in termini di gravità e potrebbero essere sfruttati per raccogliere dati sensibili, incluse le password, dettagli finanziari, ed e-mail.
Cos'è CVE-2020-8913?
Secondo la descrizione ufficiale, la vulnerabilità potrebbe causare l'esecuzione di codice arbitrario locale a causa di problemi nell'endpoint SplitCompat.install nelle versioni di Play Core Library di Android precedenti 1.7.2.
Un malintenzionato potrebbe creare un apk che prende di mira un'applicazione specifica, e se una vittima dovesse installare questo apk, l'attaccante potrebbe eseguire un attraversamento di directory, eseguire il codice come applicazione di destinazione e accedere ai dati dell'applicazione di destinazione sul dispositivo Android. Consigliamo a tutti gli utenti di aggiornare Play Core alla versione 1.7.2 o più tardi, dice l'avviso NVD.
Google ha corretto il difetto CVE-2020-8913 ad aprile 6, 2020. Tuttavia, sembra che diverse app Android di alto profilo stiano ancora utilizzando versioni vulnerabili della Play Core Library di Android. Perché? Poiché gli sviluppatori devono inserire la patch nelle loro app, spetta interamente agli sviluppatori quando questo accade. A differenza dei difetti lato server, quando la patch viene applicata al server, I difetti lato client richiedono che ogni sviluppatore agisca separatamente. Nel caso della patch CVE-2020-8913, diversi fornitori hanno ignorato la patch.
Quali sono i pericoli derivanti da un difetto della libreria principale di Google Play senza patch?
“Se un'applicazione dannosa sfrutta questa vulnerabilità, può ottenere l'esecuzione di codice all'interno di applicazioni popolari e avere lo stesso accesso dell'applicazione vulnerabile,” Trend Micro dice.
Gli scenari di attacco basati su questo exploit sono illimitati, ma ecco alcuni dei più probabili:
- Iniettare codice nelle applicazioni bancarie per acquisire le credenziali, pur avendo i permessi SMS per rubare l'autenticazione a due fattori (2FA) codici.
- Iniezione di codice nelle applicazioni aziendali per ottenere l'accesso alle risorse aziendali.
- Iniettare codice nelle applicazioni dei social media per spiare le vittime e utilizzare l'accesso alla posizione per monitorare i loro dispositivi.
- Iniezione di codice nelle app di messaggistica istantanea per acquisire tutti i messaggi ed eventualmente inviare messaggi per conto della vittima, I ricercatori di Trend Micro avvertono.
Gli sviluppatori delle app vulnerabili dovrebbero aggiornare e utilizzare la versione con patch della libreria principale di Google Play per proteggere i propri utenti.
Lo scorso mese, abbiamo avvertito gli utenti Android di un nuovo Trojan bancario. Soprannominato Ghimob, il malware può spiare e raccogliere dati da parte di 153 Applicazioni Android in paesi come il Brasile, Paraguay, Perù, Portogallo, Germania, Angola, e Mozambico.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: