GooglePlayコアライブラリの深刻な脆弱性が8月下旬に報告されました.
CVE-2020-8913として知られています, この欠陥は、Grindrなどの広く使用されている多くのAndroidアプリを危険にさらします, Cisco Teams, マイクロソフトエッジ, Booking.com, Viber, OkCupid. 新しいチェックポイントの調査によると、これらの注目を集めるアプリの多くは、パッチが適用されていないバージョンのGooglePlayコアライブラリをまだ実行しています。. バグは評価されています 8.8 から 10 重大度の観点から、機密データを収集するために悪用される可能性があります, パスワードを含む, 財務詳細, とメール.
CVE-2020-8913とは?
公式の説明によると, この脆弱性により、以前のAndroidのPlayコアライブラリバージョンのSplitCompat.installエンドポイントに問題が発生し、ローカルで任意のコードが実行される可能性があります。 1.7.2.
悪意のある攻撃者が特定のアプリケーションを標的とするapkを作成する可能性があります, 被害者がこのapkをインストールした場合, 攻撃者はディレクトリトラバーサルを実行する可能性があります, ターゲットアプリケーションとしてコードを実行し、Androidデバイス上のターゲットアプリケーションのデータにアクセスします. すべてのユーザーがPlayCoreをバージョンに更新することをお勧めします 1.7.2 以上, NVDアドバイザリーによると.
Googleは4月にCVE-2020-8913の欠陥にパッチを当てました 6, 2020. でも, いくつかの有名なAndroidアプリは、AndroidのPlayCoreLibraryの脆弱なバージョンをまだ使用しているようです. 何故ですか? 開発者はパッチをアプリにプッシュする必要があるため, これが発生するのは完全に開発者次第です. サーバー側の欠陥とは異なり, パッチがサーバーに適用されたとき, クライアント側の欠陥により、各開発者は個別にアクションを実行する必要があります. CVE-2020-8913パッチの場合, いくつかのベンダーはパッチを無視しています.
パッチが適用されていないGooglePlayコアライブラリの欠陥に起因する危険性は何ですか?
“悪意のあるアプリケーションがこの脆弱性を悪用した場合, 人気のあるアプリケーション内でコードを実行し、脆弱なアプリケーションと同じアクセス権を持つことができます,” トレンドマイクロによると.
このエクスプロイトに基づく攻撃シナリオは無制限です, しかし、ここに最も可能性の高いもののいくつかがあります:
- 銀行のアプリケーションにコードを挿入して資格情報を取得する, 二要素認証を盗むためのSMS権限を持っている間 (2FA) コード.
- エンタープライズアプリケーションにコードを挿入して、企業リソースへのアクセスを取得する.
- ソーシャルメディアアプリケーションにコードを挿入して被害者をスパイし、位置情報アクセスを使用してデバイスを追跡する.
- IMアプリにコードを挿入してすべてのメッセージを取得し、被害者に代わってメッセージを送信する可能性があります, トレンドマイクロの研究者は警告します.
脆弱なアプリの開発者は、パッチを適用したバージョンのGoogle Playコアライブラリを更新して使用し、ユーザーを保護する必要があります.
先月, Androidユーザーに新しいバンキング型トロイの木馬について警告しました. 吹き替えギモブ, マルウェアはデータをスパイして収集する可能性があります から 153 ブラジルなどの国のAndroidアプリケーション, パラグアイ, ペルー, ポルトガル, ドイツ, アンゴラ, とモザンビーク.