Už od dubna Google ví o zranitelnosti stovek milionů uživatelů, dodnes je aktuální

2
Už od dubna Google ví o zranitelnosti stovek milionů uživatelů, dodnes je aktuální
Fotografie: pixabay.com
  • Check Point náhodně vybral řadu oblíbených aplikací a zranitelnost CVE-2020-8913 byla potvrzena například v Grindr, Bumble, OKCupid, Cisco Teams, Moovit, Yango Pro, Edge, Xrecorder nebo PowerDirector
  • Google chybu opravil v dubnu 2020, ale vývojáři musí novou knihovnu Play Core ještě nainstalovat

Check Point Research varuje před známou zranitelností CVE-2020-8913, která se stále ukrývá v mnoha aplikacích v obchodě Google Play. Hackeři mohou s její pomocí vkládat škodlivé kódy do zranitelných aplikací a špehovat uživatele nebo krást data a finance.


Výzkumný tým kyberbezpečnostní společnosti Check Point potvrdil, že oblíbené aplikace v obchodě Google Play jsou i nadále zranitelné a obsahují známou chybu CVE-2020-8913, takže stovky milionů uživatelů Androidu jsou v ohrožení. Útočníci mohou vložit škodlivý kód do zranitelných aplikací a získat přístup ke všem zdrojům hostitelské aplikace.

Zranitelnost souvisí s oblíbenou knihovnou Google Play Core, která vývojářům umožňuje zasílat aktualizace a moduly s novými funkcemi v rámci aplikace. Zneužití by útočníkům umožnilo přidat spustitelné moduly do aplikací využívajících tuto knihovnu a spustit v nich libovolný kód. Útočník, který má v zařízení oběti nainstalovanou aplikaci s malwarem, by mohl ukrást soukromé informace uživatelů, jako jsou přihlašovací údaje, hesla, finanční informace nebo zprávy.

Vývojáři musí okamžitě aktualizovat

Google vyhodnotil závažnost zranitelnosti jako 8,8 z 10 a vydal záplatu 6. dubna 2020. Vývojáři ovšem musí aktualizovanou knihovnu nahrát do svých aplikací. Check Point náhodně vybral několik velmi rozšířených aplikací a zjistil, že zranitelnost může stále ještě napáchat mnoho škod.

Zranitelné aplikace

V průběhu září používalo 13 % Google Play aplikací analyzovaných Check Pointem knihovnu Google Play Core a 8 % z těchto aplikací mělo i nadále zranitelnou verzi. Zranitelné jsou například:

  • Komunikační platforma Viber
  • Oblíbená cestovní aplikace Booking
  • Podniková aplikace Cisco Teams
  • Mapy a navigace Yango Pro (Taximeter)
  • Seznamovací aplikace Grindr, OKCupid, Bumble
  • Prohlížeč Edge
  • Užitečné nástroje Xrecorder, PowerDirector

Před zveřejněním analýzy Check Point informoval vývojáře aplikací o nutnosti aktualizovat knihovnu. Aplikace Viber a Booking byly po upozornění ihned opraveny.

Check Point popsal útok ve čtyřech krocích:

  1. Uživatel nainstaluje škodlivou aplikaci.
  2. Škodlivá aplikace zneužije aplikaci se zranitelnou verzí knihovny Google Play Core (GPC).
  3. GPC zpracuje a načte škodlivý kód a spustí útok.
  4. Hacker získá přistupovat ke všem zdrojům hostitelské aplikace.

Ukázka útoku na aplikaci Google Chrome

Pro ukázku útoku na konkrétní aplikaci použil Check Point zranitelnou verzi aplikace Google Chrome. Hackeři mohou použít cookies k narušení bezpečnosti dalších služeb, jako je například Dropbox. Jakmile je škodlivý kód vložen do prohlížeče Google Chrome, získá útočník přístup ke cookies, historii a záložkám nebo správě hesel.

Odhadujeme, že stovky milionů uživatelů Androidu jsou v ohrožení. Ačkoli Google implementoval záplatu, mnoho aplikací stále ještě používá zastaralé knihovny Play Core. Zranitelnost CVE-2020-8913 je velmi nebezpečná. Pokud ji útočníci zneužijí, mohou spustit kód v populárních aplikacích a získat stejný přístup jako zranitelná aplikace. Hrozí tedy například krádeže dvoufaktorových autentizačních kódů nebo přihlašovacích údajů, špehování uživatelů a jejich aktivit na sociálních sítích nebo odposlouchávání komunikace v chatovacích aplikacích. Záleží jen na fantazii hackerů, jak se rozhodnou zranitelnost zneužít,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.

Více informací najdete v analýze výzkumného týmu Check Point Research na tomto odkazu.

Diskuze ke článku
Karel Kahovec
Karel Kahovec
Opravdu děs. Takže se to ví od dubna, ovšem ten poplašný seznam aplikací je ze září. Například Edge byl opraven 16.12., ale sláva, kopneme si do něj...
Janek Fanek
Janek Fanek
Další zpráva, která potvrzuje, že používání mobilu k bankovním účelům je stále vysoce rizikové. Stále mně zaráží laxní přístup gigantů jako je Microsoft či Google k těmto záležitostem. Jak je možné, že vývojářům aplikací není možné naprosto jednoznačně sdělit, že jejich neopravené aplikace budou z knihoven a store neprodleně odstraněny a to i např prohlížeč Edge od Microsoftu.  Zde se jasně ukazuje monopolní chování těchto gigantů,  prostě oni mohou všechno,  když chybí kvalitní konkurence. A ta je často potlačována obchodně-politickými prostředky. Opravdu smutný pohled na tuto scénu!

Načíst všechny komentáře

Přidat názor

Nejživější diskuze