Эксперты компании Check Point предупредили, что разработчики многих популярных Android-приложений забыли обновить одну важную библиотеку и теперь уязвимы для атак.
Так, по данным компании, около 8% всех приложений в Google Play Store использую старые и небезопасные версии библиотеки Play Core. Эта библиотека была создана Google, и разработчики могут встраивать ее в свои приложения для взаимодействия с официальным Google Play Store. Библиотека весьма популярна, ведь с ее помощью можно загружать и устанавливать обновления, размещенные в Play Store, модули, языковые пакеты и даже другие приложения.
Однако ранее в текущем году исследователи из компании Oversecured обнаружили в Play Core серьезную уязвимость, получившую идентификатор CVE-2020-8913. Этот баг могло эксплуатировать вредоносное приложение, установленное на устройстве пользователя, и с его помощью внедрять опасный код в другие приложения, а также похищать конфиденциальные данные, включая пароли, фото, коды 2ФА и многое другое. Демонстрацию такой атаки можно увидеть ниже.
Инженеры Google устранили ошибку с релизом Play Core 1.7.2, вышедшем в марте 2020 года. Однако, по данным Check Point, далеко не все разработчики вовремя обновили библиотеку Play Core, и теперь их пользователи подвергаются риску.
Согласно сканированию, проведенному Check Point в сентябре 2020 года, то есть через шесть месяцев после выпуска патча, около 13% всех приложений в Goolge Play Store продолжали использовать старые версии библиотеки, и только 5% использовали обновленную (безопасную) версию.
В список приложений, которые «выполнили свой долг» перед пользователями и обновили библиотеку, вошли Facebook, Instagram, Snapchat, WhatsApp и Chrome. Но, к сожалению, разработчики многих других крупных приложений этого не сделали. Среди таких эксперты перечислили Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber и Booking.com. Суммарно проблемные приложения были установлены более 250 000 000 раз.
Исследователи Check Point пишут, что они уведомили о проблеме авторов всех уязвимых приложений, но три месяца спустя только Viber и Booking.com позаботились о том, чтобы устранить эту уязвимость из своих продуктов. В свою очередь издание The Register сообщает, что 2 декабря уязвимость также была исправлена в составе Cisco Webex Teams.