8% de todas las aplicaciones de Google Play vulnerables a errores de seguridad antiguos

Alrededor del 8% de las aplicaciones de Android disponibles en la tienda oficial de Google Play son vulnerables a una falla de seguridad en una biblioteca popular de Android, según un análisis realizado este otoño por la firma de seguridad Check Point.

La falla de seguridad reside en versiones anteriores de Play Core , una biblioteca de Java proporcionada por Google que los desarrolladores pueden incrustar dentro de sus aplicaciones para interactuar con el portal oficial de Play Store.

La biblioteca de Play Core es muy popular, ya que los desarrolladores de aplicaciones pueden usarla para descargar e instalar actualizaciones alojadas en Play Store, módulos, paquetes de idioma o incluso otras aplicaciones.

A principios de este año, los investigadores de seguridad de Oversecured descubrieron una vulnerabilidad importante ( CVE-2020-8913 ) en la biblioteca de Play Core que una aplicación maliciosa instalada en el dispositivo de un usuario podría haber abusado para inyectar código falso dentro de otras aplicaciones y robar datos confidenciales, como contraseñas, fotos, códigos 2FA y más.

Una demostración de un ataque de este tipo está disponible a continuación:

Google corrigió el error en Play Core 1.7.2 , lanzado en marzo, pero según los nuevos hallazgos publicados hoy por Check Point, no todos los desarrolladores han actualizado la biblioteca de Play Core que se envía con sus aplicaciones, dejando a sus usuarios expuestos a ataques fáciles de robo de datos. de aplicaciones maliciosas instaladas en sus dispositivos.

Según un análisis realizado por Check Point en septiembre, seis meses después de que se pusiera a disposición un parche de Play Core, el 13% de todas las aplicaciones de Play Store seguían usando esta biblioteca, pero solo el 5% usaba una versión actualizada (segura), con el resto deja a los usuarios expuestos a ataques.

Las aplicaciones que cumplieron con su deber para con los usuarios y actualizaron la biblioteca incluyeron Facebook, Instagram, Snapchat, WhatsApp y Chrome; sin embargo, muchas otras aplicaciones no lo hicieron.

Entre las aplicaciones con las bases de usuarios más grandes que no se actualizaron, Check Point enumeró las de Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber y Booking.com.

Los investigadores de Check Point, Aviran Hazum y Jonathan Shimonovich, dijeron que notificaron a todas las aplicaciones que encontraron vulnerables a ataques a través de CVE-2020-8913, pero, tres meses después, solo Viber y Booking.com se molestaron en parchear sus aplicaciones después de su notificación.

«Como muestra nuestro video de demostración, esta vulnerabilidad es extremadamente fácil de explotar», dijeron los dos investigadores.

«Todo lo que necesita hacer es crear una aplicación ‘hola mundo’ que llame a la intención exportada en la aplicación vulnerable para enviar un archivo a la carpeta de archivos verificados con la ruta transversal del archivo. Luego, siéntese y observe cómo sucede la magia».

Esta investigación muestra, una vez más, que si bien los usuarios pueden estar usando una versión actualizada de sus aplicaciones, eso no significa necesariamente que todos los componentes internos de una aplicación también estén actualizados, con cadenas de suministro de software a menudo estar en completo desorden, incluso en algunas de las empresas de software / tecnología más grandes del mundo.

Fuente: zdnet.com

Comments are closed.