Eind augustus werd een ernstige kwetsbaarheid voor de Google Play Core Library gemeld.
Bekend als CVE-2020-8913, het gebrek vormt een gevaar voor veel veelgebruikte Android-apps zoals Grindr, Cisco Teams, Microsoft Edge, Booking.com, Viber, OkCupid. Uit nieuw onderzoek van Check Point blijkt dat veel van deze spraakmakende apps nog steeds de ongepatchte versie van Google Play Core Library gebruiken. De bug is beoordeeld 8.8 uit 10 in termen van ernst en kan worden misbruikt om gevoelige gegevens te verzamelen, zoals wachtwoorden, financiele gegevens, en e-mails.
Wat is CVE-2020-8913?
Volgens de officiële beschrijving, het beveiligingslek kan leiden tot het uitvoeren van lokale willekeurige code vanwege problemen in het SplitCompat.install-eindpunt in de Play Core Library-versies van Android voorafgaand aan 1.7.2.
Een kwaadwillende aanvaller kan een apk maken die zich op een specifieke toepassing richt, en als een slachtoffer deze apk zou installeren, de aanvaller zou een directory-traversal kunnen uitvoeren, voer code uit als de beoogde applicatie en krijg toegang tot de gegevens van de beoogde applicatie op het Android-apparaat. We raden alle gebruikers aan om Play Core bij te werken naar versie 1.7.2 of later, zegt het NVD-advies.
Google heeft de fout CVE-2020-8913 in april hersteld 6, 2020. Echter, het lijkt erop dat verschillende spraakmakende Android-apps nog steeds kwetsbare versies van de Play Core Library van Android gebruiken. Waarom is dat? Omdat ontwikkelaars de patch in hun apps moeten pushen, het is geheel aan de ontwikkelaars wanneer dit gebeurt. In tegenstelling tot fouten aan de serverzijde, wanneer de patch wordt toegepast op de server, Bij gebreken aan de clientzijde moet elke ontwikkelaar afzonderlijk actie ondernemen. In het geval van de CVE-2020-8913-patch, verschillende leveranciers hebben de patch genegeerd.
Wat zijn de gevaren die voortvloeien uit een niet-gepatchte fout in de Google Play Core Library?
“Als een kwaadaardig programma misbruik maakt van dit beveiligingslek, het kan code-uitvoering verkrijgen in populaire applicaties en heeft dezelfde toegang als de kwetsbare applicatie,” Trend Micro zegt.
Aanvalscenario's op basis van deze exploit zijn onbeperkt, maar hier zijn enkele van de meest waarschijnlijke:
- Code in bankapplicaties injecteren om inloggegevens te bemachtigen, terwijl je sms-machtigingen hebt om de tweefactorauthenticatie te stelen (2FA) codes.
- Code injecteren in bedrijfstoepassingen om toegang te krijgen tot bedrijfsbronnen.
- Code in sociale-mediatoepassingen injecteren om slachtoffers te bespioneren en locatietoegang gebruiken om hun apparaten te volgen.
- Code in IM-apps injecteren om alle berichten op te halen en mogelijk berichten namens het slachtoffer te verzenden, Trend Micro-onderzoekers waarschuwen.
De ontwikkelaars van de kwetsbare apps moeten de gepatchte versie van Google Play Core Library updaten en gebruiken om hun gebruikers te beschermen.
Vorige maand, we hebben Android-gebruikers gewaarschuwd voor een nieuwe banktrojan. Ghimob genoemd, de malware kan gegevens spioneren en verzamelen van 153 Android-applicaties in landen als Brazilië, Paraguay, Peru, Portugal, Duitsland, Angola, en Mozambique.