Pueden ser secuestradas para robar información confidencial, como contraseñas, detalles financieros y correos electrónicos
Varias aplicaciones de Android de alto perfil siguen utilizando una versión sin parches de la biblioteca de actualizaciones de aplicaciones ampliamente utilizada de Google, lo que potencialmente pone en riesgo de piratería los datos personales de cientos de millones de usuarios de teléfonos inteligentes.
Muchas populares aplicaciones, incluidas Grindr, Bumble, OkCupid, Cisco Teams, Moovit, Yango Pro, Microsoft Edge, Xrecorder y PowerDirector, siguen siendo vulnerables y pueden ser secuestradas para robar información confidencial, como contraseñas, detalles financieros y correos electrónicos.
El error, registrado como CVE-2020-8913, tiene una clasificación de 8.8 de 10.0 en cuanto a gravedad e impacta en las versiones de la biblioteca Play Core de Android anteriores a la 1.7.2.
Aunque Google abordó la vulnerabilidad en marzo, los nuevos hallazgos de Check Point Research muestran que muchos desarrolladores de aplicaciones de terceros aún no han integrado la nueva biblioteca Play Core en sus aplicaciones para mitigar la amenaza por completo.
"A diferencia de las vulnerabilidades del lado del servidor, donde la vulnerabilidad se repara por completo una vez que el parche se aplica al servidor, para las vulnerabilidades del lado del cliente, cada desarrollador debe tomar la última versión de la biblioteca e insertarla en la aplicación", dijo en un informe la firma de ciberseguridad.
Play Core Library es una popular biblioteca de Android que permite a los desarrolladores administrar la entrega de nuevos módulos de funciones de manera efectiva, activar actualizaciones en la aplicación en tiempo de ejecución y descargar paquetes de idiomas adicionales.
Informado por primera vez a fines de agosto por investigadores en el inicio de seguridad de aplicaciones Oversecured, el problema permite que un actor de amenazas inyecte ejecutables maliciosos en cualquier aplicación que dependa de la biblioteca, lo que le otorga al atacante acceso completo a todos los recursos como el de la aplicación comprometida.
La falla se debe a una vulnerabilidad de recorrido de ruta en la biblioteca que podría explotarse para cargar y ejecutar código malicioso (por ejemplo, un archivo APK) en una aplicación de destino para robar los detalles de inicio de sesión de los usuarios, contraseñas, detalles financieros y otra información confidencial almacenada en eso.
Las consecuencias de la explotación exitosa de este defecto son enormes. Se puede usar para "inyectar código en aplicaciones bancarias para obtener credenciales y, al mismo tiempo, tener permisos de SMS para robar los códigos de autenticación de dos factores (2FA)", capturar mensajes de aplicaciones de chat, espiar las ubicaciones de los usuarios e incluso obtener acceso a los recursos corporativos manipulando las aplicaciones empresariales.
Según Check Point Research, del 13% de las aplicaciones de Google Play analizadas en el mes de septiembre de 2020, el 8% de esas aplicaciones tenían una versión vulnerable.
Después de que la firma de ciberseguridad divulgara responsablemente sus hallazgos, Viber, Meetup y Booking.com actualizaron sus aplicaciones a la versión parcheada de la biblioteca.
Los investigadores también demostraron una prueba de concepto que utilizó una versión vulnerable de la aplicación Google Chrome para desviar los marcadores almacenados en el navegador a través de una carga útil dedicada.
"Estimamos que cientos de millones de usuarios de Android están en riesgo de seguridad", dijo el gerente de investigación móvil de Check Point, Aviran Hazum. "Aunque Google implementó un parche, muchas aplicaciones todavía usan bibliotecas Play Core obsoletas. La vulnerabilidad CVE-2020-8913 es altamente peligrosa, [y] las posibilidades de ataque aquí solo están limitadas por la imaginación de un actor de amenazas".