Badacze bezpieczeństwa z Check Point potwierdzili, że popularne aplikacje w sklepie Google Play są nadal podatne na znaną lukę CVE-2020-8913, co oznacza, że setki milionów użytkowników Androida wciąż jest narażonych na zagrożenie bezpieczeństwa. Zgłoszona po raz pierwszy pod koniec sierpnia przez badaczy z Oversecured luka umożliwia hakerowi wstrzyknięcie złośliwego kodu do podatnych na ataki aplikacji, zapewniając dostęp do tych samych zasobów aplikacji hostingowej. Złośliwa aplikacja może przykładowo pobrać poufne dane z innych aplikacji na tym samym urządzeniu.
Podatność jest zakorzeniona w szeroko używanej bibliotece Google Play Core, która pozwala programistom przesyłać aktualizacje aplikacji i nowe moduły funkcji do aplikacji na Androida. Luka umożliwia dodawanie modułów wykonywalnych do dowolnych aplikacji korzystających z biblioteki, co oznacza, że można w nich wykonać dowolny kod. Osoba atakująca, która posiada złośliwą aplikację zainstalowaną na urządzeniu ofiary, może wykraść prywatne informacje użytkowników, takie jak dane logowania, hasła, dane finansowe oraz czytać ich pocztę.
Część aplikacji wciąż bez niezbędnych aktualizacji bibliotek Google potwierdził i załatał pierwotny błąd 6 kwietnia 2020 r., Oceniając go na 8,8 na 10 pod względem istotności. Jednak łatka musi zostać umieszczona przez samych programistów w odpowiednich aplikacjach, aby zagrożenie mogło całkowicie zniknąć. Badacze Check Point postanowili losowo wybrać kilka znanych aplikacji, aby zobaczyć, którzy programiści faktycznie wdrożyli łatkę dostarczoną przez Google.
13 proc. z wszystkich przeanalizowanych przez badaczy Check Pointa we wrześniu 2020 r. korzystało z biblioteki Google Play Core, a spośród nich aż 8% nadal posiadało niezaktualizowaną wersję GPC zawierającą lukę. Były to m.in. tak popularne aplikacje jak: Viber , Booking, Cisco Teams, Yango Pro, Moovit, Grindr, OKCupid, Bumble, Edge
Check Point poinformował już wszystkich twórców o lukach w zabezpieczeniach i konieczności zaktualizowania bibliotek, jednak jak na razie tylko w przypadku Moovit, Vibera oraz Booking zaktualizowano biblioteki.
Aby zademonstrować sposób wykorzystania wspomnianych luk, badacze z Check Point wykorzystali podatną na ataki wersję aplikacji Google Chrome i stworzyli specjalny ładunek, aby pobrać jej zakładki. Demonstracja pokazuje, w jaki sposób ktoś może przechwytywać pliki cookie i użyć ich jako środka do przejęcia istniejącej sesji z usługami stron trzecich, takimi jak DropBox. Gdy ładunek zostanie „wstrzyknięty” do aplikacji, będzie miał taki sam dostęp do danych jak oryginalna aplikacja.
