Przejdź na

Android: aplikacje z milionami pobrań kradły dane. Ujawniono poważną lukę

Badacze zabezpieczeń z firmy Check Point właśnie ujawnili, że wiele aplikacji przeznaczonych na system Android miało luki pozwalające na ataki. Kradły one dane kontaktowe, informacje o naszych loginach, zczytywały wiadomości prywatne. Trzy najpopularniejsze z nich miały aż 160 milionów pobrań.

fot. Etamme/CC BY 3.0fot. Etamme/CC BY 3.0
Jakub Krawczyński

Jedne z najczęściej używanych aplikacji, które są narażone, jakie wymieniła firma Check Point, to między innymi:

Podatność, jaką wykryli specjaliści od zabezpieczeń, Aviran Hazum i Jonathan Shimonovich wywodzi się z mechanizmu Google Play Core Library. Ta biblioteka pozwala aplikacjom uproszczenie procesu aktualizacji - np. przez przyjmowanie ich w tle w trakcie normalnego działania, czy też dopasowywanie uaktualnień do konkretnego telefonu czy wersji systemu operacyjnego.

schemat działania luki, fot. Check Point
schemat działania luki, fot. Check Point

Luka pozwalała na przenoszenie plików z niezaufanych źródeł do folderu, który w teorii miał być wyłącznie zaufany dla zaufanego kodu pochodzącego z Google Play. Jest to poważne niedopatrzenie, które pozwala jednej aplikacji na pozyskanie kodu lub danych pochodzących z drugiego programu.

Google naprawiło problem z biblioteką już w kwietniu 2020 r., ale szkopuł tkwi w tym, że deweloperzy musieli pobrać zaktualizowaną wersję biblioteki i wprowadzić ją do swojego kodu. Jak wykazało śledztwo Check Point, ogromna część twórców aplikacji tego jeszcze nie zrobiła.

Jakie mogą być konsekwencje wykorzystania tej luki? Przede wszystkim możliwość wstrzykiwania złośliwego kodu, przez który można między innymi:

  • przechwycić dane logowanie do aplikacji bankowych wraz z kodami SMS i do weryfikacji dwuetapowej
  • przejąć dostęp do aplikacji firmowych w organizacjach
  • szpiegować aplikacje społecznościowe ofiary, w tym śledzić jej położenie
  • uzyskać dostęp do wiadomości prywatnych, a także wysyłać je w imieniu ofiary

Z analizy Check Point wynika, że ucierpiało na tej luce łącznie 14 aplikacji, pobieranych w sumie 850 milionów razy w sklepie Google Play. Oprócz Edge, XRecorder i PowerDirector, były to między innymi: Viber, Booking, Cisco Teams, Moovit, Grindr, OKCupid i Yango Pro oraz cztery inne, których nazw Check Point nie wymienił. W kilka godzin od opublikowania tego raportu niektórzy twórcy aplikacji podjęli działania i załatali już podatność. Edge, XRecorder i PowerDirector pozostają jednak podatne.

Nie ma jeszcze informacji na temat tego, czy tematem Edge zajął się Microsoft i czy nastąpiła reakcja deweloperów XRecordera i PowerDirectora.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯