Le app Android con centinaia di milioni di download sono vulnerabili agli attacchi che consentono alle app dannose di rubare contatti, credenziali di accesso, messaggi privati e altre informazioni sensibili. L'azienda di sicurezza Check Point ha affermato che il browser Edge, il registratore video e schermo XRecorder e l'editor video PowerDirector sono tra quelli interessati.
La vulnerabilità risiede effettivamente nella libreria principale di Google Play, che è una raccolta di codice creata da Google. La libreria consente alle app di semplificare il processo di aggiornamento, ad esempio, ricevendo nuove versioni durante il runtime e adattando gli aggiornamenti alla configurazione specifica di una singola app o a un modello di telefono specifico su cui è in esecuzione l'app.
Una vulnerabilità fondamentale
Ad agosto, la società di sicurezza Oversecured ha rivelato un bug di sicurezza nella libreria principale di Google Play che consentiva a un'app installata di eseguire codice nel contesto di qualsiasi altra app che si basava sulla versione vulnerabile della libreria.
La vulnerabilità derivava da un difetto di attraversamento della directory che consentiva a fonti non attendibili di copiare file in una cartella che avrebbe dovuto essere riservata solo al codice attendibile ricevuto da Google Play. La vulnerabilità ha minato una protezione di base integrata nel sistema operativo Android che impedisce a un'app di accedere ai dati o al codice appartenente a qualsiasi altra app.
Ecco un'immagine che illustra come potrebbe funzionare un attacco:
Check Point
Google ha corretto il bug della libreria ad aprile, ma per correggere le app vulnerabili, gli sviluppatori devono prima scaricare la libreria aggiornata e quindi incorporarla nel codice dell'app. Secondo i risultati della ricerca di Check Point, un numero non banale di sviluppatori ha continuato a utilizzare la versione vulnerabile della libreria.
Annuncio pubblicitario
I ricercatori di Check Point Aviran Hazum e Jonathan Shimonovich hanno scritto:
Quando combiniamo applicazioni popolari che utilizzano la libreria Google Play Core e la vulnerabilità di esecuzione del codice locale, possiamo vedere chiaramente i rischi. Se un'applicazione dannosa sfrutta questa vulnerabilità, può ottenere l'esecuzione di codice all'interno delle applicazioni più diffuse e avere lo stesso accesso dell'applicazione vulnerabile.
Le possibilità sono limitate solo dalla nostra creatività. Di seguito sono riportati solo alcuni esempi:
- Inietta codice nelle applicazioni bancarie per acquisire le credenziali e allo stesso tempo avere le autorizzazioni SMS per rubare i codici di autenticazione a due fattori (2FA).
- Inietta codice nelle applicazioni aziendali per ottenere l'accesso alle risorse aziendali.
- Inietta codice nelle applicazioni dei social media per spiare la vittima e utilizza l'accesso alla posizione per tracciare il dispositivo.
- Inietta codice nelle app di messaggistica istantanea per acquisire tutti i messaggi ed eventualmente inviare messaggi per conto della vittima.
Vedere per credere
Per dimostrare un exploit, Check Point ha utilizzato un'app dannosa proof-of-concept per rubare un cookie di autenticazione da una vecchia versione di Chrome. Con il possesso del cookie, l'aggressore è quindi in grado di ottenere un accesso non autorizzato all'account Dropbox di una vittima.
Account Takeover che sfrutta la vulnerabilità nel codice della libreria Play Core di Android – Demo.
Check Point ha identificato 14 app con download combinati di quasi 850 milioni che sono rimaste vulnerabili. Entro poche ore dalla pubblicazione di un rapporto, la società di sicurezza ha affermato che gli sviluppatori di alcune delle app citate avevano rilasciato aggiornamenti che hanno risolto la vulnerabilità.
Le app identificate da Check Point includevano Edge, XRecorder e PowerDirector, che hanno un totale di 160 milioni di installazioni. Check Point non ha fornito alcuna indicazione che nessuna di queste app fosse stata corretta. Ars ha chiesto agli sviluppatori di tutte e tre le app di commentare il rapporto. Questo post verrà aggiornato se rispondono.
