Aplicativos Android com mais de 250 milhões de downloads ainda são vulneráveis a um bug grave em uma biblioteca do Google (corrigida em agosto de 2020). Em agosto, a empresa de segurança Oversecured descobriu uma vulnerabilidade no Google Play Core Library que permitia que aplicativos maliciosos executassem códigos em aplicativos legítimos.
Esses códigos maliciosos seriam então executados sob as permissões de segurança do aplicativo legítimo, permitindo que ele monitorasse e roubasse dados inseridos no aplicativo ou transmitidos por ele.
Aplicativos Android com 250 milhões de instalações são vulneráveis
Esta biblioteca vulnerável é usada para atualizar os componentes de um aplicativo por meio da API do Google. Esta biblioteca é usada por muitos aplicativos populares, incluindo Chrome, Facebook, Instagram e WhatsApp.
Rastreada como CVE-2020-8913, a vulnerabilidade foi atribuída com uma classificação de 8,8 e foi corrigida pelo Google na Google Play Core Library versão 1.7.2.
Todavia, pesquisadores da Check Point Research descobriram que ainda existem aplicativos com milhões de instalações usando a biblioteca vulnerável. A Check Point Research declarou:
Desde a publicação desta vulnerabilidade, começamos a monitorar aplicativos vulneráveis. Durante o mês de setembro de 2020, 13% dos aplicativos do Google Play analisados pela SandBlast Mobile usaram esta biblioteca e 8% desses aplicativos tinham uma versão vulnerável.
Isso é preocupante, pois de acordo com os pesquisadores, a vulnerabilidade do Google Play Core Library é trivial de explorar. Todos esses aplicativos têm pelo menos 1 milhão de downloads, com um máximo de 100 milhões de downloads.
Como a biblioteca não pode ser atualizada automaticamente pelo Google, os desenvolvedores devem baixar manualmente uma nova versão e atualizar seus aplicativos com ela.
Infelizmente, mesmo depois que a Check Point notificou cada um dos desenvolvedores sobre a vulnerabilidade de seus aplicativos, os pesquisadores disseram que apenas o Viber, o Moovit e o Booking lançaram versões corrigidas.
Bleeping Computer