Android: aplikacje z milionami pobrań kradły dane. Ujawniono poważną lukę Strona główna Aktualności04.12.2020 16:13 fot. Etamme/CC BY 3.0 Udostępnij: O autorze Jakub Krawczyński @jak.kra Badacze zabezpieczeń z firmy Check Point właśnie ujawnili, że wiele aplikacji przeznaczonych na system Android miało luki pozwalające na ataki. Kradły one dane kontaktowe, informacje o naszych loginach, zczytywały wiadomości prywatne. Trzy najpopularniejsze z nich miały aż 160 milionów pobrań. Jedne z najczęściej używanych aplikacji, które są narażone, jakie wymieniła firma Check Point, to między innymi: Microsoft Edge XRecorder PowerDirector Podatność, jaką wykryli specjaliści od zabezpieczeń, Aviran Hazum i Jonathan Shimonovich wywodzi się z mechanizmu Google Play Core Library. Ta biblioteka pozwala aplikacjom uproszczenie procesu aktualizacji - np. przez przyjmowanie ich w tle w trakcie normalnego działania, czy też dopasowywanie uaktualnień do konkretnego telefonu czy wersji systemu operacyjnego. schemat działania luki, fot. Check Point Luka pozwalała na przenoszenie plików z niezaufanych źródeł do folderu, który w teorii miał być wyłącznie zaufany dla zaufanego kodu pochodzącego z Google Play. Jest to poważne niedopatrzenie, które pozwala jednej aplikacji na pozyskanie kodu lub danych pochodzących z drugiego programu. Google naprawiło problem z biblioteką już w kwietniu 2020 r., ale szkopuł tkwi w tym, że deweloperzy musieli pobrać zaktualizowaną wersję biblioteki i wprowadzić ją do swojego kodu. Jak wykazało śledztwo Check Point, ogromna część twórców aplikacji tego jeszcze nie zrobiła. Jakie mogą być konsekwencje wykorzystania tej luki? Przede wszystkim możliwość wstrzykiwania złośliwego kodu, przez który można między innymi: przechwycić dane logowanie do aplikacji bankowych wraz z kodami SMS i do weryfikacji dwuetapowej przejąć dostęp do aplikacji firmowych w organizacjach szpiegować aplikacje społecznościowe ofiary, w tym śledzić jej położenie uzyskać dostęp do wiadomości prywatnych, a także wysyłać je w imieniu ofiary Z analizy Check Point wynika, że ucierpiało na tej luce łącznie 14 aplikacji, pobieranych w sumie 850 milionów razy w sklepie Google Play. Oprócz Edge, XRecorder i PowerDirector, były to między innymi: Viber, Booking, Cisco Teams, Moovit, Grindr, OKCupid i Yango Pro oraz cztery inne, których nazw Check Point nie wymienił. W kilka godzin od opublikowania tego raportu niektórzy twórcy aplikacji podjęli działania i załatali już podatność. Edge, XRecorder i PowerDirector pozostają jednak podatne. Nie ma jeszcze informacji na temat tego, czy tematem Edge zajął się Microsoft i czy nastąpiła reakcja deweloperów XRecordera i PowerDirectora. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Ogromny wyciek danych z aplikacji randkowych. Tak, wyciek 17 cze 2020 Piotr Urbaniak Oprogramowanie Internet Bezpieczeństwo 94 Wyciek w Google: twoje filmy mogły trafić w obce ręce 4 lut 2020 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 54 USA. Wyciekły dane osób korzystających z medycznej marihuany 23 sty 2020 Piotr Urbaniak Internet Biznes Bezpieczeństwo 18 To może być "rok ransomware". Do 2021 cyberprzestępcy będą atakować co 11 sekund 5 lut 2020 Oskar Ziomek Internet Bezpieczeństwo 32
Udostępnij: O autorze Jakub Krawczyński @jak.kra Badacze zabezpieczeń z firmy Check Point właśnie ujawnili, że wiele aplikacji przeznaczonych na system Android miało luki pozwalające na ataki. Kradły one dane kontaktowe, informacje o naszych loginach, zczytywały wiadomości prywatne. Trzy najpopularniejsze z nich miały aż 160 milionów pobrań. Jedne z najczęściej używanych aplikacji, które są narażone, jakie wymieniła firma Check Point, to między innymi: Microsoft Edge XRecorder PowerDirector Podatność, jaką wykryli specjaliści od zabezpieczeń, Aviran Hazum i Jonathan Shimonovich wywodzi się z mechanizmu Google Play Core Library. Ta biblioteka pozwala aplikacjom uproszczenie procesu aktualizacji - np. przez przyjmowanie ich w tle w trakcie normalnego działania, czy też dopasowywanie uaktualnień do konkretnego telefonu czy wersji systemu operacyjnego. schemat działania luki, fot. Check Point Luka pozwalała na przenoszenie plików z niezaufanych źródeł do folderu, który w teorii miał być wyłącznie zaufany dla zaufanego kodu pochodzącego z Google Play. Jest to poważne niedopatrzenie, które pozwala jednej aplikacji na pozyskanie kodu lub danych pochodzących z drugiego programu. Google naprawiło problem z biblioteką już w kwietniu 2020 r., ale szkopuł tkwi w tym, że deweloperzy musieli pobrać zaktualizowaną wersję biblioteki i wprowadzić ją do swojego kodu. Jak wykazało śledztwo Check Point, ogromna część twórców aplikacji tego jeszcze nie zrobiła. Jakie mogą być konsekwencje wykorzystania tej luki? Przede wszystkim możliwość wstrzykiwania złośliwego kodu, przez który można między innymi: przechwycić dane logowanie do aplikacji bankowych wraz z kodami SMS i do weryfikacji dwuetapowej przejąć dostęp do aplikacji firmowych w organizacjach szpiegować aplikacje społecznościowe ofiary, w tym śledzić jej położenie uzyskać dostęp do wiadomości prywatnych, a także wysyłać je w imieniu ofiary Z analizy Check Point wynika, że ucierpiało na tej luce łącznie 14 aplikacji, pobieranych w sumie 850 milionów razy w sklepie Google Play. Oprócz Edge, XRecorder i PowerDirector, były to między innymi: Viber, Booking, Cisco Teams, Moovit, Grindr, OKCupid i Yango Pro oraz cztery inne, których nazw Check Point nie wymienił. W kilka godzin od opublikowania tego raportu niektórzy twórcy aplikacji podjęli działania i załatali już podatność. Edge, XRecorder i PowerDirector pozostają jednak podatne. Nie ma jeszcze informacji na temat tego, czy tematem Edge zajął się Microsoft i czy nastąpiła reakcja deweloperów XRecordera i PowerDirectora. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji