Ancora coinvolte innumerevoli app tra cui popolari app di incontri come Grindr, OKCupid, Bumble e anche app come Edge e XRecorder
Innumerevoli app su Google Play Store risultano essere ancora vulnerabili a un noto bug, CVE-2020-8913, che permette agli hacker di diffondere un codice dannoso per ottenere l’accesso a completamente tutte le risorse dell’hosting. Gli aggressori possono così utilizzare le app vulnerabili per sottrarre dati sensibili, come credenziali, password e dati di pagamento, da altre applicazioni sullo stesso dispositivo.
I ricercatori di Check Point Software Technologies hanno confermato che applicazioni molto diffuse su Google Play Store continuano ad essere vulnerabili alla nota vulnerabilità CVE-2020-8913, mettendo in pericolo centinaia di milioni di utenti Android. Segnalata per la prima volta alla fine di agosto dai ricercatori di Oversecured, la vulnerabilità consente a un aggressore di diffondere un codice dannoso in applicazioni vulnerabili, garantendo l’accesso a tutte le risorse e tutti i dati dell’hosting, quindi del dispositivo che ospita queste app.
Il difetto è radicato nella libreria Play Core di Google che permette agli sviluppatori di aggiungere aggiornamenti in-app e nuovi moduli di funzionalità nelle loro app Android. La vulnerabilità rende possibile l’aggiunta di moduli eseguibili a qualsiasi app che utilizzi la libreria, il che significa che il codice arbitrario può essere eseguito al suo interno. Un aggressore, con una malware app installata sul dispositivo della vittima, potrebbe rubare tutte le sue informazioni private.
Gli sviluppatori devono aggiornare, ora!
Google ha riconosciuto e patchato il bug il 6 aprile 2020, con un rating di gravità pari a 8,8, su 10. Tuttavia, la patch deve essere inserita dagli sviluppatori stessi anche nelle rispettive applicazioni, affinché la minaccia scompaia completamente. Check Point ha deciso di selezionare un numero random di app comuni per vedere quali sviluppatori hanno effettivamente implementato la patch fornita da Google.
Le app vulnerabili
Durante lo scorso settembre, il 13% delle app Google Play analizzate dai ricercatori ha utilizzato la libreria Google Play Core, di cui l’8% ha continuato ad avere una versione vulnerabile. Le seguenti app ancora vulnerabili su Android sono:
- Social – *Viber
- Travel – *Booking
- Business – Cisco Teams
- Maps and Navigation – Yango Pro (Taximeter)
- Dating – Grindr, OKCupid, Bumble
- Browsers – Edge
- Utilities – Xrecorder, PowerDirector
*Prima di diffondere questa notizia, Check Point ha notificato a tutte le app la vulnerabilità e la necessità di aggiornare la versione. Ulteriori test hanno dimostrato che Viber e Booking hanno ricevuto la patch.L’attacco: una reazione a catena
I ricercatori hanno riassunto la catena di attacchi per sfruttare la vulnerabilità, in quattro fasi:
- Installazione dell’app vulnerabile e dannosa
- L’app sfrutta a sua volta un’applicazione con una versione vulnerabile di Google Play Core (GPC)
- GPC gestisce il payload, lo carica ed esegue l’attacco
- Il payload può accedere a tutte le risorse disponibili
Dimostrazione sull’app di Google Chrome
Per spiegare un attacco tipo, i ricercatori hanno preso una versione vulnerabile dell’app di Google Chrome e hanno creato un payload dedicato per accaparrarsi i suoi segnalibri. Le dimostrazioni mostrano come qualcuno possa prendere possesso dei cookie per utilizzarli come mezzo per corrompere una sessione esistente con servizi di terze parti, come DropBox. Una volta che un payload viene “iniettato” in Google Chrome, avrà lo stesso accesso dell’app Google Chrome ai dati, come i cookie, la cronologia e i segnalibri per i dati, e il gestore di password come servizio.
“Stimiamo che centinaia di milioni di utenti Android siano a rischio sicurezza. Sebbene Google abbia implementato una patch, molte applicazioni utilizzano ancora librerie Play Core obsolete. La vulnerabilità CVE-2020-8913 è veramente pericolosa” ha dichiarato Aviran Hazum, Manager of Mobile Research di Check Point. “Se un’applicazione dannosa sfrutta questa vulnerabilità, può ottenere l’esecuzione del codice all’interno delle app più diffuse, ottenendo lo stesso accesso di quella vulnerabile. Ad esempio, la vulnerabilità potrebbe consentire a un aggressore di rubare codici per l’autenticazione a due fattori o di diffondere codice nelle app bancarie per ottenere le credenziali. Oppure, potrebbe inserire il codice nelle app dei social media per spiare le vittime, o diffondere il codice nelle app di messaggistica istantanea per recuperare i messaggi. Le possibilità di attacco in questo caso sono limitate solo dall’immaginazione dell’hacker stesso”.
Dichiarazione di Google. Check Point ha contattato Google e comunicato i risultati delle loro ricerche. Google ha risposto così: “La relativa vulnerabilità CVE-2020-8913 non esiste nelle versioni aggiornate di Play Core.”
[Articolo aggiornato alle 19:52]