Népszerű Android alkalmazások, mint a Grindr, OkCupid, és mások sebezhetőek jelentős biztonsági hiba: Check Point

BY admin
|

Egy jelentős biztonsági hiba, amely a Google Play Core Library-ben gyökerezik, még mindig számos Android alkalmazást sújt, köztük olyan népszerű neveket, mint a Grindr, Bumble, Cisco Teams, OkCupid, hogy csak néhányat említsünk.

  • By: Desk | New Delhi |
  • December 7, 2020 5:54:11 pm

Egy Android-szobor a Google kampuszán a kaliforniai Mountain View-ban, az Egyesült Államokban. (Kép forrása: Bloomberg)

A Google Play Core könyvtárában gyökerező súlyos biztonsági hiba még mindig számos Android-alkalmazást sújt, köztük olyan népszerű neveket, mint a Grindr, a Bumble, a Cisco Teams, az OkCupid – derül ki a Check Point Software Technologies biztonsági kutatóinak elemzéséből. A hiba, amelyet a Google még 2020 áprilisában javított, még mindig számos alkalmazást érint, mivel a fejlesztők még nem javították ki a hibát, és ennek következtében felhasználók milliói vannak veszélyben – állítja a Check Point Security Research.

A CVE-2020-8913 névre keresztelt sebezhetőség lehetővé teszi a kiberbűnözők számára, hogy rosszindulatú kódot juttassanak be a sebezhető alkalmazásokba, majd ezt a kódot végrehajtva hozzáférjenek a tárhelyet biztosító alkalmazás összes erőforrásához. Ez a Check Point szerint a továbbiakban kihasználható arra, hogy érzékeny adatokat lopjanak el más alkalmazásokból ugyanazon az eszközön. A hiba miatt a felhasználók személyes adatai, például bejelentkezési adatok, jelszavak, pénzügyi adatok és levelek kiberlopás veszélyének vannak kitéve.

Mi a CVE-2020-8913 sebezhetőség?

A hiba a Google széles körben használt Play Core könyvtárában gyökerezik. A könyvtár segítségével a fejlesztők alkalmazáson belüli frissítéseket és új funkciómodulokat tolhatnak Android-alkalmazásaikba. A Google 2020 áprilisában javította a problémát, a fejlesztőknek még mindig új Play Core könyvtárat kell telepíteniük ahhoz, hogy a fenyegetés teljesen megszűnjön – írja a Check Point. A problémát először augusztus végén jelentették az Oversecured kutatói. A Google a 10-ből 8,8-ra értékelte a hiba súlyosságát.

Frissítésekkel rendelkezik

A sebezhetőség lehetővé teszi, hogy a könyvtárat használó bármely alkalmazáshoz futtatható modulokat adjanak hozzá. Ez azt jelenti, hogy bármilyen tetszőleges kód futtatható bennük. Egy támadó, aki rosszindulatú alkalmazást telepít az áldozat készülékére, ellophatja a felhasználók személyes adatait, például bejelentkezési adatokat, jelszavakat, pénzügyi adatokat, és elolvashatja a leveleiket.

Mely alkalmazásokat érinti a CVE-2020-8913?

A cég véletlenszerűen kiválasztott néhány magas szintű alkalmazást, hogy megerősítse a CVE-2020-8913 sebezhetőség létezését. Az olyan népszerű alkalmazások, mint a Viber, Grindr, Bumble, OKCupid, Cisco Teams, Yango Pro, Edge, Xrecorder, PowerDirector mind rendelkeztek a hibával.

A 2020 szeptemberében a Check Point kutatói által elemzett Google Play alkalmazások 13 százaléka használta a Google Play Core könyvtárat, és ezen alkalmazások 8 százalékának továbbra is volt sebezhető verziója. Míg a Viber és a Booking frissített a javított verziókra, a többit még frissíteni kell.

A Check Point szerint a fejlesztőknek maguknak kell a javítást betolniuk ahhoz, hogy a fenyegetés teljesen megszűnjön. Értesítette az összes alkalmazást a sebezhetőségről és arról, hogy frissíteniük kell a könyvtár verzióját, hogy ne legyenek érintettek.

📣 Az Indian Express már a Telegramban van. Kattintson ide, hogy csatlakozzon csatornánkhoz (@indianexpress), és maradjon naprakész a legfrissebb szalagcímekkel

A legfrissebb technológiai hírekért töltse le az Indian Express App.