Uma falha de gravidade 8,8, publicada e corrigida em agosto de 2020 continua presente numa quantidade tão grande de aplicativos para Android que é difícil de calcular. O alerta vem de pesquisadores da Check Point Software, já que a vulnerabilidade (registrada como CVE-2020-8913) permite a execução de código e o controle de todos os recursos acessados pelo aplicativo, além do roubo de dados confidenciais como detalhes de login, e-mail, senhas e dados financeiros.
A falha, reportada pela primeira vez em agosto de 2020 pelos pesquisadores da empresa Oversecured, está na biblioteca Play Core, do Google, amplamente usada pelos desenvolvedores, e que permite o envio de atualizações ao aplicativo. É possível, por exemplo, acrescentar módulos executáveis contendo código com absolutamente qualquer finalidade.
Veja isso
Google Play adota novas políticas para barrar ‘fleeceware’
Malware usa biblioteca .NET para criar arquivos Excel e burlar segurança
Durante o mês de setembro, 13% dos aplicativos analisados pelos pesquisadores da Check Point utilizavam a Google Play Core Library, dos quais 8% continuavam disponíveis na versão vulnerável. Estes são alguns dos aplicativos que, no momento, ainda contam com falhas de segurança:
• Viber (redes sociais) *
• Booking (viagens) *
• Cisco Team (negócios)
• Yango Pro (Taximeter) e Moovit (mapas e navegação)
• Grindr, OKCupid e Bumble (encontros)
• Edge (browser da Microsoft)
• Xrecorder e PowerDirector (utilitários)
* Antes de publicar este alerta, a Check Point notificou todos os responsáveis pelos aplicativos em relação à vulnerabilidade e à necessidade de atualizar a versão da biblioteca e informa que análises mais recentes indicaram que o Viber e o Booking foram atualizados.
Os pesquisadores da Check Point demonstram, em quatro passos como a vulnerabilidade é explorada (veja no vídeo o ataque a uma versão desatualizada do Google Chrome):
• Usuário instala aplicativo malicioso
• O aplicativo malicioso tira proveito de um outro aplicativo com a versão vulnerável e desatualizada da Google Play Core (GPC) Library
• A GPC carrega e executa o ataque
• O atacante pode agora pode acessar todos os recursos disponíveis no aplicativo de hospedagem
A simulação, disponível em vídeo , demonstra como alguém pode se apropriar dos cookies de um usuário, como forma de acessar as contas de terceiros em sites ou aplicativos, como o DropBox. Assim que o ataque for ativado, os cibercriminosos terão o mesmo acesso que o Google Chrome a variadas informações, como cookies, histórico, marcadores e gerenciadores de senhas.