I ricercatori di
Check Point Software Technologies hanno confermato che applicazioni molto diffuse su
Google Play Store continuano ad essere vulnerabili alla nota vulnerabilità CVE-2020-8913, mettendo in pericolo centinaia di milioni di utenti
Android.
Segnalata per la prima volta alla fine di agosto dai ricercatori di Oversecured, la vulnerabilità consente a un aggressore di diffondere un codice dannoso in applicazioni vulnerabili, garantendo l'accesso a tutte le risorse e tutti i dati dell’hosting, quindi del dispositivo che ospita queste app. Il difetto è radicato nella libreria
Play Core di Google che permette agli sviluppatori di aggiungere aggiornamenti in-app e nuovi moduli di funzionalità nelle loro app Android. La vulnerabilità rende possibile l'aggiunta di moduli eseguibili a qualsiasi app che utilizzi la libreria, il che significa che il codice arbitrario può essere eseguito al suo interno. Un aggressore, con una malware app installata sul dispositivo della vittima, potrebbe rubare tutte le sue informazioni private.
Google ha riconosciuto e patchato il bug il 6 aprile 2020, con un rating di gravità pari a 8,8, su 10. Tuttavia, la patch deve essere inserita dagli sviluppatori stessi anche nelle rispettive applicazioni, affinché la minaccia scompaia completamente. Check Point ha deciso di selezionare un numero random di app comuni per vedere quali sviluppatori hanno effettivamente implementato la patch fornita da Google.
Durante lo scorso settembre, il 13% delle app Google Play analizzate dai ricercatori ha utilizzato la libreria Google Play Core, di cui l'8% ha continuato ad avere una versione vulnerabile.
Le seguenti app ancora vulnerabili su Android sono:
Social – Viber
Travel – Booking
Business – Cisco Teams
Maps and Navigation – Yango Pro (Taximeter), Moovit
Dating – Grindr, OKCupid, Bumble
Browsers – Edge
Utilities – Xrecorder, PowerDirector
Prima di diffondere questa notizia, Check Point ha notificato a tutte le app la vulnerabilità e la necessità di aggiornare la versione. Ulteriori test hanno dimostrato che
Viber e Booking hanno ricevuto la patch. I ricercatori hanno riassunto la catena di attacchi per sfruttare la vulnerabilità, in quattro fasi:
Installazione dell’app vulnerabile e dannosa
L'app sfrutta a sua volta un'applicazione con una versione vulnerabile di Google Play Core (GPC)
GPC gestisce il payload, lo carica ed esegue l'attacco
Il payload può accedere a tutte le risorse disponibili