Innumerevoli applicazioni Android presenti sul Google Play Store risultano vulnerabili a un bug, noto come CVE-2020-8913, che permette a un hacker di diffondere un codice malware per ottenere l’accesso completo a tutte le risorse dell’hosting. L’aggressore può così utilizzare le app vulnerabili per sottrarre dati sensibili come credenziali, password e dati di pagamento da altre applicazioni presenti sullo stesso dispositivo. I ricercatori di Check Point Software Technologies hanno confermato che sono diverse le applicazioni presenti sul Google Play Store soggette a questo bug, col risultato che sono potenzialmente a rischio i dati di centinaia di milioni di utenti Android.
Segnalato dai ricercatori di Oversecured, questo difetto è radicato nella libreria Play Core di Google che permette agli sviluppatori di aggiungere aggiornamenti in-app e nuovi moduli di funzionalità nelle loro app Android. La vulnerabilità rende possibile l’aggiunta di moduli eseguibili a qualsiasi applicazione che utilizzi la libreria, il che significa che il codice arbitrario può essere eseguito al suo interno. Un aggressore, con una app con malware installata sul dispositivo della vittima, potrebbe rubare tutte le sue informazioni private.
Google, che ha riconosciuto il bug assegnandogli un rating di gravità pari a 8.8 su 10, lo ha corretto lo scorso 6 aprile. Tuttavia, affinché la minaccia scompaia completamente, la patch deve essere inserita manualmente dagli sviluppatori stessi anche nelle rispettive applicazioni. Check Point ha deciso di selezionare un numero casuale di applicazioni comuni per vedere quali sviluppatori hanno effettivamente implementato la patch fornita da Google, ed è qui che sta il vero problema.
Il 13% delle app Google Play analizzate dai ricercatori lo scorso settembre ha utilizzato la libreria Google Play Core, di cui l’8% ha continuato ad avere una versione vulnerabile. Nello specifico, le app ancora vulnerabili su Android sono Viber, Booking, Cisco Teams, Yango Pro (Taximeter), Moovit, Grindr, OKCupid, Bumble, Microsoft Edge, Xrecorder e PowerDirector. Prima di diffondere questa notizia, Check Point ha notificato a tutti gli sviluppatori di queste applicazioni la vulnerabilità e la necessità di aggiornare la versione. Ulteriori test eseguiti successivamente hanno dimostrato che Viber e Booking hanno già ricevuto la patch.
[Aggiornamento: Moovit ci fa sapere di avere già risolto il problema con un update dell’applicazione avvenuto qualche settimana fa, l’attuale versione disponibile online non risente del bug CVE-2020-8913]
Per spiegare un attacco-tipo, i ricercatori hanno preso una versione vulnerabile dell’app di Google Chrome e hanno creato un payload dedicato per accaparrarsi i suoi segnalibri. Le dimostrazioni, visibili nel video che segue, mostrano come qualcuno possa prendere possesso dei cookie per utilizzarli come mezzo per corrompere una sessione esistente con servizi di terze parti, come DropBox. Una volta che un payload viene “iniettato” in Google Chrome, avrà lo stesso accesso dell’app Google Chrome ai dati, come i cookie, la cronologia e i segnalibri per i dati, e il gestore di password come servizio.
«Stimiamo che centinaia di milioni di utenti Android siano a rischio sicurezza. Sebbene Google abbia implementato una patch, molte applicazioni utilizzano ancora librerie Play Core obsolete. La vulnerabilità CVE-2020-8913 è veramente pericolosa» ha dichiarato Aviran Hazum, Manager of Mobile Research di Check Point.
«Se un’applicazione dannosa sfrutta questa vulnerabilità, può ottenere l’esecuzione del codice all’interno delle app più diffuse, ottenendo lo stesso accesso di quella vulnerabile. Ad esempio, la vulnerabilità potrebbe consentire a un aggressore di rubare codici per l’autenticazione a due fattori o di diffondere codice nelle app bancarie per ottenere le credenziali. Oppure, potrebbe inserire il codice nelle app dei social media per spiare le vittime, o diffondere il codice nelle app di messaggistica istantanea per recuperare i messaggi. Le possibilità di attacco in questo caso sono limitate solo dall’immaginazione dell’hacker stesso».
Vi invitiamo a verificare se le applicazioni citate sono state aggiornate di recente ed eventualmente informarvi, nel caso siano critiche per il vostro lavoro, direttamente se l’azienda ha provveduto a risolvere il bug di cui parliamo in questo articolo.
Tutte le notizie e gli articoli di macitynet che parlano di Android sono disponibili da questa pagina. Per chi invece è interessato agli iPhone 12 tutto quello che c’è da da sapere è riassunto qui. Sulle pagine di macitynet trovate anche le recensioni di iPhone 12 Pro, iPhone 12, 12 mini e anche 12 Pro Max.
