Check Point conferma che app molto diffuse su Google Play Store sono al centro di cyber attacchi mettendo in pericolo gli utenti Android.I ricercatori hanno evidenziato in particolare la vulnerabilità CVE-2020-8913.
Segnalata per la prima volta ad agosto dai ricercatori di Oversecured, la vulnerabilità consente a un aggressore di diffondere un codice dannoso in applicazioni vulnerabili, garantendo l’accesso a tutte le risorse e tutti i dati dell’hosting, quindi del dispositivo che ospita queste app.
Il difetto è radicato nella libreria Play Core di Google che permette agli sviluppatori di aggiungere aggiornamenti in-app e nuovi moduli di funzionalità nelle loro app Android.
La vulnerabilità rende possibile l’aggiunta di moduli eseguibili a qualsiasi app che utilizzi la libreria. Il che significa che il codice arbitrario può essere eseguito al suo interno. Un aggressore, con una malware app installata sul dispositivo della vittima, potrebbe rubare tutte le sue informazioni private.
App e cyber attacchi. Cosa devono fare gli sviluppatori
Google ha riconosciuto e patchato il bug il 6 aprile 2020, con un rating di gravità pari a 8,8, su 10. Tuttavia, la patch deve essere inserita dagli sviluppatori stessi anche nelle rispettive applicazioni, affinché la minaccia scompaia completamente. Check Point ha deciso di selezionare un numero random di app comuni per vedere quali sviluppatori hanno effettivamente implementato la patch fornita da Google. Durante settembre, il 13% delle app Google Play analizzate dai ricercatori ha utilizzato la libreria Google Play Core, di cui l’8% ha continuato ad avere una versione vulnerabile.
Le app ancora vulnerabili su Android sono:
- Social – Viber
- Travel – Booking
- Business – Cisco Teams
- Maps and Navigation – Yango Pro (Taximeter), Moovit
- Dating – Grindr, OKCupid, Bumble
- Browsers – Edge
- Utilities – Xrecorder, PowerDirector
App e cyber attacchi
I ricercatori hanno riassunto la catena di attacchi per sfruttare la vulnerabilità, in quattro fasi:
- Installazione dell’app vulnerabile e dannosa.
- L’app sfrutta a sua volta un’applicazione con una versione vulnerabile di Google Play Core (GPC).
- GPC gestisce il payload, lo carica ed esegue l’attacco.
- Il payload può accedere a tutte le risorse disponibili
Per spiegare un attacco tipo, i ricercatori hanno preso una versione vulnerabile dell’app di Google Chrome e hanno creato un payload dedicato per accaparrarsi i suoi segnalibri. Le dimostrazioni mostrano come qualcuno possa prendere possesso dei cookie per utilizzarli come mezzo per corrompere una sessione esistente con servizi di terze parti, come DropBox. Una volta che un payload viene “iniettato” in Google Chrome, avrà lo stesso accesso dell’app Google Chrome ai dati, come i cookie, la cronologia e i segnalibri per i dati, e il gestore di password come servizio.
App e cyber attacchi
Riguardo a questa segnalazione di Check Point, Google ha replicato: “ “La relativa vulnerabilità CVE-2020-8913 non esiste nelle versioni aggiornate di Play Core.”
Fondamentale proteggere anche gli smartphone. È importante installare una soluzione mobile di difesa dalle minacce, come Check Point SandBlast Mobile. Una soluzione creata per la difesa dalle minacce mobili (MTD), che fornisce un’ampia gamma di funzionalità e protezione per i vettori mobili di attacchi, incluso il download di applicazioni dannose e applicazioni con malware incorporato.