Uma vulnerabilidade grave para a biblioteca principal do Google Play foi relatada no final de agosto.
Conhecido como CVE-2020-8913, a falha coloca em risco muitos aplicativos Android amplamente usados, como o Grindr, Cisco Teams, Microsoft borda, Booking.com, Viber, OkCupid. Uma nova pesquisa da Check Point revela que muitos desses aplicativos importantes ainda estão executando a versão sem patch da biblioteca principal do Google Play. O bug é avaliado 8.8 fora de 10 em termos de gravidade e pode ser explorado para coletar dados confidenciais, incluindo senhas, detalhes financeiros, e emails.
O que é CVE-2020-8913?
De acordo com a descrição oficial, a vulnerabilidade pode causar a execução de código arbitrário local devido a problemas no endpoint SplitCompat.install nas versões Play Core Library do Android antes de 1.7.2.
Um atacante malicioso pode criar um apk que visa um aplicativo específico, e se a vítima instalasse este apk, o invasor pode realizar uma travessia de diretório, execute o código como o aplicativo de destino e acesse os dados do aplicativo de destino no dispositivo Android. Recomendamos que todos os usuários atualizem o Play Core para a versão 1.7.2 ou mais tarde, o conselho NVD diz.
O Google corrigiu a falha CVE-2020-8913 em abril 6, 2020. Contudo, parece que vários aplicativos Android de alto nível ainda estão usando versões vulneráveis da Play Core Library do Android. Por que é que? Já que os desenvolvedores precisam colocar o patch em seus aplicativos, depende inteiramente dos desenvolvedores quando isso acontece. Ao contrário das falhas do lado do servidor, quando o patch é aplicado ao servidor, falhas do lado do cliente exigem que cada desenvolvedor tome medidas separadamente. No caso do patch CVE-2020-8913, vários fornecedores ignoraram o patch.
Quais são os perigos decorrentes de uma falha não corrigida da Google Play Core Library?
“Se um aplicativo malicioso explorar esta vulnerabilidade, ele pode obter execução de código dentro de aplicativos populares e ter o mesmo acesso que o aplicativo vulnerável,” Trend Micro diz.
Os cenários de ataque com base nesta exploração são ilimitados, mas aqui estão alguns dos mais prováveis:
- Injetando código em aplicativos bancários para obter credenciais, ao ter permissões de SMS para roubar a autenticação de dois fatores (2FA) códigos.
- Injeção de código em aplicativos corporativos para obter acesso aos recursos corporativos.
- Injetar código em aplicativos de mídia social para espionar vítimas e usar o acesso à localização para rastrear seus dispositivos.
- Injetar código em aplicativos de mensagens instantâneas para pegar todas as mensagens e, possivelmente, enviar mensagens em nome da vítima, Pesquisadores da Trend Micro alertam.
Os desenvolvedores dos aplicativos vulneráveis devem atualizar e usar a versão corrigida do Google Play Core Library para proteger seus usuários.
Mês passado, alertamos os usuários do Android sobre um novo cavalo de Troia bancário. Apelidado de Ghimob, o malware pode espionar e colher dados de 153 Aplicativos Android em países como o Brasil, Paraguai, Peru, Portugal, Alemanha, Angola, e moçambique.