Android: aplikacje z milionami pobrań kradły dane. Ujawniono poważną lukę
Badacze zabezpieczeń z firmy Check Point właśnie ujawnili, że wiele aplikacji przeznaczonych na system Android miało luki pozwalające na ataki. Kradły one dane kontaktowe, informacje o naszych loginach, zczytywały wiadomości prywatne. Trzy najpopularniejsze z nich miały aż 160 milionów pobrań.
Jedne z najczęściej używanych aplikacji, które są narażone, jakie wymieniła firma Check Point, to między innymi:
Podatność, jaką wykryli specjaliści od zabezpieczeń, Aviran Hazum i Jonathan Shimonovich wywodzi się z mechanizmu Google Play Core Library. Ta biblioteka pozwala aplikacjom uproszczenie procesu aktualizacji - np. przez przyjmowanie ich w tle w trakcie normalnego działania, czy też dopasowywanie uaktualnień do konkretnego telefonu czy wersji systemu operacyjnego.
Luka pozwalała na przenoszenie plików z niezaufanych źródeł do folderu, który w teorii miał być wyłącznie zaufany dla zaufanego kodu pochodzącego z Google Play. Jest to poważne niedopatrzenie, które pozwala jednej aplikacji na pozyskanie kodu lub danych pochodzących z drugiego programu.
Google naprawiło problem z biblioteką już w kwietniu 2020 r., ale szkopuł tkwi w tym, że deweloperzy musieli pobrać zaktualizowaną wersję biblioteki i wprowadzić ją do swojego kodu. Jak wykazało śledztwo Check Point, ogromna część twórców aplikacji tego jeszcze nie zrobiła.
Jakie mogą być konsekwencje wykorzystania tej luki? Przede wszystkim możliwość wstrzykiwania złośliwego kodu, przez który można między innymi:
- przechwycić dane logowanie do aplikacji bankowych wraz z kodami SMS i do weryfikacji dwuetapowej
- przejąć dostęp do aplikacji firmowych w organizacjach
- szpiegować aplikacje społecznościowe ofiary, w tym śledzić jej położenie
- uzyskać dostęp do wiadomości prywatnych, a także wysyłać je w imieniu ofiary
Z analizy Check Point wynika, że ucierpiało na tej luce łącznie 14 aplikacji, pobieranych w sumie 850 milionów razy w sklepie Google Play. Oprócz Edge, XRecorder i PowerDirector, były to między innymi: Viber, Booking, Cisco Teams, Moovit, Grindr, OKCupid i Yango Pro oraz cztery inne, których nazw Check Point nie wymienił. W kilka godzin od opublikowania tego raportu niektórzy twórcy aplikacji podjęli działania i załatali już podatność. Edge, XRecorder i PowerDirector pozostają jednak podatne.
Nie ma jeszcze informacji na temat tego, czy tematem Edge zajął się Microsoft i czy nastąpiła reakcja deweloperów XRecordera i PowerDirectora.
