I ricercatori di Check Point Software Technologies hanno confermato che applicazioni molto diffuse su Google Play Store continuano ad essere vulnerabili alla nota vulnerabilità CVE-2020-8913, mettendo in pericolo centinaia di milioni di utenti Android.
Molte app su Google Play Store risultano essere ancora vulnerabili a un noto bug, CVE-2020-8913, che permette agli hacker di diffondere un codice dannoso per ottenere l’accesso a completamente tutte le risorse dell’hosting. Gli aggressori possono così utilizzare le app vulnerabili per sottrarre dati sensibili, come credenziali, password e dati di pagamento, da altre applicazioni sullo stesso dispositivo.
Segnalata per la prima volta alla fine di agosto dai ricercatori di Oversecured, la vulnerabilità consente a un aggressore di diffondere un codice dannoso in applicazioni vulnerabili, garantendo l’accesso a tutte le risorse e tutti i dati dell’hosting, quindi del dispositivo che ospita queste app. Il difetto è radicato nella libreria Play Core di Google che permette agli sviluppatori di aggiungere aggiornamenti in-app e nuovi moduli di funzionalità nelle loro app Android. La vulnerabilità rende possibile l’aggiunta di moduli eseguibili a qualsiasi app che utilizzi la libreria, il che significa che il codice arbitrario può essere eseguito al suo interno. Un aggressore, con una malware app installata sul dispositivo della vittima, potrebbe rubare tutte le sue informazioni private.
Gli sviluppatori Android devono aggiornare, ora!
Google ha riconosciuto e patchato il bug il 6 aprile 2020, con un rating di gravità pari a 8,8, su 10. Tuttavia, la patch deve essere inserita dagli sviluppatori stessi anche nelle rispettive applicazioni, affinché la minaccia scompaia completamente. Check Point ha deciso di selezionare un numero random di app comuni per vedere quali sviluppatori hanno effettivamente implementato la patch fornita da Google.
Pubblicato in Mobile & App
Commenta per primo