LAX Android应用程序开发人员将数百万用户处于危险之中
Android应用程序开发人员通过未能更新谷歌广泛使用的播放核心库来覆盖4月2020年4月修复的错误,检查点已警告。
CVE-2020-8913漏洞是一个本地任意代码的代码执行漏洞,它使恶意演员能够创建一个Android包套件(APK),其针对特定应用程序,该应用程序允许他们将代码作为目标应用程序执行,并访问其上保存的数据用户设备。这可能包括私人信息,例如登录凭据,财务细节,私人消息或照片。
它源于播放核心库,这是一个重要的元素,使开发人员将自己的应用程序内更新和新功能模块推到实时应用程序。播放核心库在Google Play商店的大约13%的Apps中使用,截至2020年9月
它于2020年4月6日由Google修补,但由于它是一个客户端漏洞 - 而不是完全修补的服务器端漏洞,一旦修补程序应用于服务器 - 有效地减轻它需要每个开发人员使用播放核心库抓住修补版本并将其安装到应用程序中。八个月后,许多人仍然没有这样做。
Aviran Hazum,Check Point的移动研究经理表示:“我们估计数亿辆Android用户处于安全风险。虽然Google实现了补丁,但许多应用程序仍然使用过时的播放核心库。
“漏洞CVE-2020-8913非常危险,”他说。“如果恶意应用程序利用此漏洞,它可以在流行的应用程序内获得代码执行,从而获得与易受攻击的应用程序相同的访问。例如,该漏洞可以允许威胁演员窃取双因素认证代码或将代码注入到银行应用程序中以抓取凭证。
“或威胁演员可以将代码注入社交媒体应用程序,以间谍受害者或将代码注入所有IM应用程序以抓取所有消息。这里的攻击可能性仅受到威胁演员的想象力的限制,“Hazum说。
通过检查点联系,谷歌确认CVE-2020-8913“不存在”在最新播放核心版本中。
尽管如此,在撰写缺陷时仍然存在于Bumble,Edge,GrindR,PowerDirector,XRecorder和Yango Pro中,这是一个小型,随机选择的验收应用程序的研究。原来抽样,预订,思科团队,Moovit和Viber的四个应用程序,自证实他们已纠正了这个问题。
这些应用程序的所有其他开发人员已通过检查点联系,但目前尚不清楚他们是否已更新。
这些应用程序的用户应考虑在其设备上安装移动威胁Defence Solutions,如果他们还没有这样做。这些服务通常在设备,应用程序和网络级别解决威胁,并应提供足够的保护。对于公司设备的用户,MTD应构成企业移动管理策略的一部分。
目前可用的工具包括验证点的移动防御,赛门铁克的终点保护移动,Zimperium的拉链检查点自己的Sandblast Mobile。
