Эксперты компании Check Point предупредили, что разработчики многих популярных Android-приложений забыли обновить одну важную библиотеку и теперь уязвимы для атак.

Так, по данным компании, около 8% всех приложений в Google Play Store использую старые и небезопасные версии библиотеки Play Core. Эта библиотека была создана Google, и разработчики могут встраивать ее в свои приложения для взаимодействия с официальным Google Play Store. Библиотека весьма популярна, ведь с ее помощью можно загружать и устанавливать обновления, размещенные в Play Store, модули, языковые пакеты и даже другие приложения.

Однако ранее в текущем году исследователи из компании Oversecured обнаружили в Play Core серьезную уязвимость, получившую идентификатор CVE-2020-8913. Этот баг могло эксплуатировать вредоносное приложение, установленное на устройстве пользователя, и с его помощью внедрять опасный код в другие приложения, а также похищать конфиденциальные данные, включая пароли, фото, коды 2ФА и многое другое. Демонстрацию такой атаки можно увидеть ниже.

Инженеры Google устранили ошибку с релизом Play Core 1.7.2, вышедшем в марте 2020 года. Однако, по данным Check Point, далеко не все разработчики вовремя обновили библиотеку Play Core, и теперь их пользователи подвергаются риску.

Согласно сканированию, проведенному Check Point в сентябре 2020 года, то есть через шесть месяцев после выпуска патча, около 13% всех приложений в Goolge Play Store продолжали использовать старые версии библиотеки, и только 5% использовали обновленную (безопасную) версию.

В список приложений, которые «выполнили свой долг» перед пользователями и обновили библиотеку, вошли Facebook, Instagram, Snapchat, WhatsApp и Chrome. Но, к сожалению, разработчики многих других крупных приложений этого не сделали. Среди таких эксперты перечислили Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber и Booking.com. Суммарно проблемные приложения были установлены более 250 000 000 раз.

Исследователи Check Point пишут, что они уведомили о проблеме авторов всех уязвимых приложений, но три месяца спустя только Viber и Booking.com позаботились о том, чтобы устранить эту уязвимость из своих продуктов. В свою очередь издание The Register сообщает, что 2 декабря уязвимость также была исправлена в составе Cisco Webex Teams.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии