I criminali possono accedere a tutte le risorse e i dati del dispositivo che ospita le app

Il bug di Google Play che mette a rischio gli utenti Android
Tempo di lettura: 3 minuti

Applicazioni molto diffuse su Google Play Store subiscono ancora la nota vulnerabilità CVE-2020-8913, mettendo in pericolo centinaia di milioni di utenti Android. Lo confermano i ricercatori di Check Point Software Technologies. Segnalata per la prima volta alla fine di agosto dai ricercatori di Oversecured, la vulnerabilità consente a un aggressore di diffondere un codice dannoso in applicazioni vulnerabili, garantendo l’accesso a tutte le risorse e tutti i dati dell’hosting, quindi del dispositivo che ospita queste app.

Il difetto è radicato nella libreria Play Core di Google che permette agli sviluppatori di aggiungere aggiornamenti in-app e nuovi moduli di funzionalità nelle loro app Android. La vulnerabilità rende possibile l’aggiunta di moduli eseguibili a qualsiasi app che utilizzi la libreria, il che significa che il codice arbitrario può essere eseguito al suo interno. Un aggressore, con una malware app installata sul dispositivo della vittima, potrebbe rubare tutte le sue informazioni private.

Gli sviluppatori devono aggiornare, ora!

Google ha riconosciuto e patchato il bug il 6 aprile 2020, con un rating di gravità pari a 8,8, su 10. Tuttavia, la patch deve essere inserita dagli sviluppatori stessi anche nelle rispettive applicazioni, affinché la minaccia scompaia completamente. Check Point ha deciso di selezionare un numero random di app comuni per vedere quali sviluppatori hanno effettivamente implementato la patch fornita da Google.

Le app vulnerabili

Durante lo scorso settembre, il 13% delle app Google Play analizzate dai ricercatori ha utilizzato la libreria Google Play Core, di cui l’8% ha continuato ad avere una versione vulnerabile. Le seguenti app ancora vulnerabili su Android sono:

  • Social – Viber
  • Travel – Booking
  • Business – Cisco Teams
  • Maps and Navigation – Yango Pro (Taximeter), Moovit
  • Dating – Grindr, OKCupid, Bumble
  • Browsers – Edge
  • Utilities – Xrecorder, PowerDirector

Prima di diffondere questa notizia, Check Point ha notificato a tutte le app la vulnerabilità e la necessità di aggiornare la versione. Ulteriori test hanno dimostrato che Viber e Booking hanno ricevuto la patch.

L’attacco: una reazione a catena

I ricercatori hanno riassunto la catena di attacchi per sfruttare la vulnerabilità, in quattro fasi:

  1. Installazione dell’app vulnerabile e dannosa
  2. L’app sfrutta a sua volta un’applicazione con una versione vulnerabile di Google Play Core (GPC)
  3. GPC gestisce il payload, lo carica ed esegue l’attacco
  4. Il payload può accedere a tutte le risorse disponibili

Dimostrazione sull’app di Google Chrome

Per spiegare un attacco tipo, i ricercatori hanno preso una versione vulnerabile dell’app di Google Chrome e hanno creato un payload dedicato per accaparrarsi i suoi segnalibri. Le dimostrazioni mostrano come qualcuno possa prendere possesso dei cookie per utilizzarli come mezzo per corrompere una sessione esistente con servizi di terze parti, come DropBox. Una volta che un payload viene “iniettato” in Google Chrome, avrà lo stesso accesso dell’app Google Chrome ai dati, come i cookie, la cronologia e i segnalibri per i dati, e il gestore di password come servizio.

Il video è disponibile a questo link.

“Stimiamo che centinaia di milioni di utenti Android siano a rischio sicurezza. Sebbene Google abbia implementato una patch, molte applicazioni utilizzano ancora librerie Play Core obsolete. La vulnerabilità CVE-2020-8913 è veramente pericolosa ha dichiarato Aviran Hazum, Manager of Mobile Research di Check Point. Se un’applicazione dannosa sfrutta questa vulnerabilità, può ottenere l’esecuzione del codice all’interno delle app più diffuse, ottenendo lo stesso accesso di quella vulnerabile. Ad esempio, la vulnerabilità potrebbe consentire a un aggressore di rubare codici per l’autenticazione a due fattori o di diffondere codice nelle app bancarie per ottenere le credenziali. Oppure, potrebbe inserire il codice nelle app dei social media per spiare le vittime, o diffondere il codice nelle app di messaggistica istantanea per recuperare i messaggi. Le possibilità di attacco in questo caso sono limitate solo dall’immaginazione dell’hacker stesso”.

Proteggete sempre anche gli smartphone, è importante installare una soluzione mobile di difesa dalle minacce, come Check Point SandBlast Mobile, una soluzione leader di mercato per la difesa dalle minacce mobili (MTD), che fornisce un’ampia gamma di funzionalità e protezione per i vettori mobili di attacchi, incluso il download di applicazioni dannose e applicazioni con malware incorporato.