Populære Android-apps som Grindr, OkCupid og andre er sårbare over for stor sikkerhedsbrist: Check Point
En stor sikkerhedsbrist, som har rod i Googles Play Core Library, plager stadig mange Android-apps, herunder populære navne som Grindr, Bumble, Cisco Teams, OkCupid, for at nævne nogle få.
- Af: Tech Desk | New Delhi |
- December 7, 2020 5:54:11 pm
En Android-statue på Googles campus i Mountain View, Californien, USA. (Billedkilde: Bloomberg)
En stor sikkerhedsbrist, som har rod i Googles Play Core Library, plager stadig mange Android-apps, herunder populære navne som Grindr, Bumble, Cisco Teams, OkCupid, ifølge en analyse foretaget af sikkerhedsforskere hos Check Point Software Technologies. Fejlen, som Google havde rettet tilbage i april 2020, påvirker stadig mange apps, da udviklerne endnu ikke har rettet fejlen, og derfor er millioner af brugere i fare, siger Check Point Security Research.
Sårbarheden, som har fået navnet CVE-2020-8913, gør det muligt for cyberkriminelle at injicere ondsindet kode i sårbare apps og derefter udføre denne kode for at få adgang til alle ressourcer i den hostende app. Dette kan yderligere udnyttes til at stjæle følsomme data fra andre apps på den samme enhed, ifølge Check Point. Fejlen sætter brugernes private oplysninger som f.eks. loginoplysninger, adgangskoder, finansielle oplysninger og mail i fare for cybertyveri.
Hvad er sårbarheden CVE-2020-8913?
Fejlen har rod i Googles meget anvendte Play Core-bibliotek. Biblioteket gør det muligt for udviklere at skubbe opdateringer i apps og nye funktionsmoduler til deres Android-apps. Google havde rettet problemet i april 2020, udviklere skal stadig installere nyt Play Core-bibliotek for at få truslen til at forsvinde helt, siger Check Point. Det blev første gang rapporteret i slutningen af august af forskere fra Oversecured. Google vurderede fejlen som en 8,8 ud af 10 for alvorlighed.
Du har opdateringer
Sårbarheden gør det muligt at tilføje eksekverbare moduler til alle apps, der bruger biblioteket. Det betyder, at enhver vilkårlig kode kan udføres i dem. En angriber, der har en malware-app installeret på offerets enhed, kan stjæle brugernes private oplysninger, såsom loginoplysninger, adgangskoder og finansielle oplysninger, og læse deres mail.
Hvilke apps er berørt af CVE-2020-8913?
Firmaet har tilfældigt udvalgt en række højt profilerede apps for at bekræfte eksistensen af sårbarheden CVE-2020-8913. Populære apps som Viber, Grindr, Bumble, OKCupid, Cisco Teams, Yango Pro, Edge, Xrecorder, PowerDirector havde alle fejlen.
I september 2020 brugte 13 procent af de Google Play-apps, som Check Point-forskerne analyserede, Google Play Core-biblioteket, og 8 procent af disse applikationer havde fortsat en sårbar version. Mens Viber og Booking opdaterede til de lappede versioner, skal resten stadig opdateres.
Check Point siger, at udviklerne selv skal pushe patchen, for at truslen helt forsvinder. Det har meddelt alle apps om sårbarheden og behovet for at opdatere versionen af biblioteket, for ikke at blive påvirket.
📣 The Indian Express er nu på Telegram. Klik her for at tilmelde dig vores kanal (@indianexpress) og hold dig opdateret med de seneste overskrifter
For alle de seneste teknologinyheder, download Indian Express App.