Αμέτρητες εφαρμογές στο Google Play Store ξακολουθούν να είναι ευάλωτες σε ένα γνωστό σφάλμα, το CVE-2020-8913, το οποίο επιτρέπει στους hackers να εισάγουν κακόβουλο κώδικα σε ευάλωτες εφαρμογές, προκειμένου να αποκτήσουν πρόσβαση. Οι hackers μπορούν να χρησιμοποιήσουν τις ευάλωτες εφαρμογές για να αποκτήσουν ευαίσθητα δεδομένα από άλλες εφαρμογές στην ίδια συσκευή, κλέβοντας προσωπικές πληροφορίες των χρηστών, όπως τα στοιχεία σύνδεσης, τους κωδικούς πρόσβασης, τα οικονομικά στοιχεία και την αλληλογραφία τους.
- Το κενό ασφαλείας βρίσκεται στην βιβλιοθήκη Play Core της Google που χρησιμοποιείται ευρέως, η οποία επιτρέπει στους προγραμματιστές να προχωρούν σε ενημερώσεις και νέα modules στις Android εφαρμογές
- Η Google διόρθωσε αυτό το σφάλμα τον Απρίλιο του 2020, αλλά οι ίδιοι οι προγραμματιστές πρέπει να εγκαταστήσουν νέα βιβλιοθήκη Play Core ώστε εξαφανιστούν πλήρως οι απειλές
- Οι ερευνητές της Check Point επέλεξαν τυχαία έναν αριθμό γνωστών εφαρμογών για να εντοπίσουν την ύπαρξη ευπάθειας CVE-2020-8913, η οποία εντοπίστηκε τις εφαρμογές Grindr, Bumble, OKCupid, Cisco Teams, Moovit, Yango Pro, Edge, Xrecorder, PowerDirector και
- Παρουσιάζουν ακολούθως, τις ευπάθειες στην εφαρμογή Google Chrome για Android
Οι ερευνητές ασφαλείας στη Check Point έχουν διαπιστώσει πως δημοφιλείς εφαρμογές στο Google Play Store εξακολουθούν να είναι ευάλωτες στη γνωστή ευπάθεια CVE-2020-8913, καταλήγοντας στο συμπέρασμα ότι εκατοντάδες εκατομμύρια χρήστες Android εξακολουθούν να διατρέχουν σημαντικό κίνδυνο ασφάλειας. Το πρόβλημα αναφέρθηκε για πρώτη φορά στα τέλη Αυγούστου από ερευνητές στην εφαρμογή Oversecured και επιτρέπει σε έναν hacker να εισάγει κακόβουλο κώδικα σε ευάλωτες εφαρμογές, παρέχοντας πρόσβαση σε όλους τους πόρους της εφαρμογής που το «φιλοξενεί». Για παράδειγμα, μια κακόβουλη εφαρμογή μπορεί να αποκτήσει ευαίσθητα δεδομένα από άλλες εφαρμογές στην ίδια συσκευή.
Το σφάλμα βρίσκεται στην βιβλιοθήκη Play Core της Google που χρησιμοποιείται ευρέως, η οποία επιτρέπει στους προγραμματιστές να πραγματοποιούν ενημερώσεις εντός εφαρμογής προσθέτοντας νεα χαρακτηριστικά στις Android εφαρμογές τους. Η ευπάθεια καθιστά δυνατή την προσθήκη εκτελέσιμων modules σε όλες τις εφαρμογές που χρησιμοποιούν τη βιβλιοθήκη, πράγμα που σημαίνει ότι θα μπορούσε να εκτελείται αυθαίρετος κώδικας μέσα σε αυτές. Ένας εισβολέας που έχει εγκαταστήσει μια εφαρμογή κακόβουλου λογισμικού στη συσκευή του θύματος θα μπορούσε να κλέψει τα προσωπικά στοιχεία των χρηστών, όπως στοιχεία σύνδεσης, κωδικούς πρόσβασης, οικονομικά στοιχεία και να διαβάσει την αλληλογραφία τους.
Οι προγραμματιστές πρέπει να ενημερώσουν τις εφαρμογές τους, Τώρα.
Η Google αναγνώρισε και διόρθωσε το σφάλμα στις 6 Απριλίου του 2020, βαθμολογώντας το με 8,8 στα 10 όσον αφορά τη σοβαρότητα του. Ωστόσο, η ενημέρωση του κώδικα που χρησιμοποιούν οι εφαρμογές αυτές πρέπει να πραγματοποιηθεί από τους ίδιους τους προγραμματιστές τους, προκειμένου η απειλή να εξαφανιστεί πλήρως. Οι ερευνητές του Check Point αποφάσισαν να επιλέξουν τυχαία γνωστές εφαρμογές για να δουν ποιοι προγραμματιστές εφάρμοσαν πραγματικά την ενημέρωση κώδικα που παρείχε η Google.
Επιβεβαιωμένα ευάλωτες εφαρμογές
Κατά τον Σεπτέμβριο του 2020, το 13% των εφαρμογών Google Play που αναλύθηκαν από τους ερευνητές της Check Point χρησιμοποιούσαν τη βιβλιοθήκη Google Play Core, με το 8% αυτών να διατηρούν την ευάλωτη έκδοση. Οι ακόλουθες εφαρμογές εξακολουθούν να είναι ευάλωτες στο Android:
- Social – *Viber
- Travel – *Booking
- Business – Cisco Teams
- Maps and Navigation – Yango Pro (Taximeter), Moovit
- Dating – Grindr, OKCupid, Bumble
- Browsers – Edge
- Utilities-Xrecorder,PowerDirector
Όλες οι εφαρμογές έχουν ήδη ενημερωθεί από την Check Point σχετικά με την ευπάθεια που αντιμετωπίζουν και την ανάγκη ενημέρωσης της έκδοσης βιβλιοθήκης που χρησιμοποιούν, ώστε να μην προσβληθούν. Περαιτέρω δοκιμές έδειξαν πως τα Viber & Booking ενημέρωσαν τις εφαρμογές τους μετά την ενημέρωση αυτή.
Η αλυσίδα της επίθεσης
Οι ερευνητές της Check Point συνοψίζουν τον τρόπο επίθεσης και την παρουσιάζουν στα επόμενα τέσσερα βήματα.
- Ο χρήστης εγκαθιστά κακόβουλη εφαρμογή.
- Η κακόβουλη εφαρμογή εκμεταλλεύεται μια εφαρμογή που φέρει την ευπαθή έκδοση της βιβλιοθήκης Google Play Core (GPC).
- Η GPC που χειρίζεται το payload της συσκευής, την φορτώνει και εκτελεί την επίθεση.
- Το payload έχει πρόσβαση σε όλους τους διαθέσιμους πόρους της hosting εφαρμογής
Παρουσίαση της ευπάθειας στο Google Chrome App
Οι ερευνητές της Check Point για να αποδείξουν τη στόχευση μιας συγκεκριμένης εφαρμογής, χρησιμοποίησαν μια ευάλωτη έκδοση της εφαρμογής Google Chrome και δημιούργησαν ένα payload για να αποσπάσουν τα bookmarks αυτής. Τα αποτελέσματα δείχνουν ότι κάποιος μπορεί να αποσπάσει cookies για να τα χρησιμοποιήσει ως μέσο για να παραβιάσει μια υπάρχουσα συνεδρία με υπηρεσίες τρίτων, όπως το DropBox. Μόλις τα payload εισαχθεί στο Google Chrome, θα έχει την ίδια πρόσβαση με την εφαρμογή Google Chrome σε δεδομένα, όπως cookies, ιστορικό και bookmarks για τα δεδομένα και τη υπηρεσία διαχείρισης κωδικών πρόσβασης.
Ο Aviran Hazum Manager of Mobile Research, της Check Point δήλωσε: “Εκτιμούμε ότι εκατοντάδες εκατομμύρια χρήστες Android διατρέχουν κίνδυνο ασφάλειας. Παρόλο που η Google εφάρμοσε μια ενημέρωση κώδικα, πολλές εφαρμογές εξακολουθούν να χρησιμοποιούν προηγούμενες βιβλιοθήκες του Play Core. Η ευπάθεια CVE-2020-8913 είναι εξαιρετικά επικίνδυνη. Εάν μια κακόβουλη εφαρμογή εκμεταλλευτεί αυτή την ευπάθεια, μπορεί να αποκτήσει πρόσβαση στην εκτέλεση κώδικα μέσα σε δημοφιλείς εφαρμογές, αποκτώντας την ίδια πρόσβαση με την ευάλωτη εφαρμογή. Για παράδειγμα, η ευπάθεια θα μπορούσε να επιτρέψει σε έναν hacker να κλέψει κωδικούς επαλήθευσης δύο παραγόντων ή να εισάγει κώδικα σε τραπεζικές εφαρμογές για να αποκτήσει τα credentials. Επίσης ο hacker θα μπορούσε να εισάγει κώδικα σε εφαρμογές κοινωνικών μέσων για να κατασκοπεύσει τα θύματα ή να εισάγει κώδικα σε όλες τις εφαρμογές συνομιλίας για να αποσπάσει όλα τα μηνύματα. Οι δυνατότητες επίθεσης περιορίζονται μόνο, από τη φαντασία του hacker. ”
Η απάντηση της Google
Η απάντηση της Google στη σχετική ενημέρωση από την Check Point ήταν η ακόλουθη: “Η ευπάθεια CVE-2020-8913 δεν υπάρχει σε ενημερωμένες εκδόσεις του Play Core.”
Πως να προστατέψετε τον εαυτό σας:
Εγκαταστήστε μια λύση προστασίας για mobile συσκευές. Το Check Point SandBlast Mobile είναι μια κορυφαία λύση Mobile Threat Defense (MTD) που παρέχει ένα ευρύ φάσμα δυνατοτήτων ασφαλείας. Το SandBlast Mobile παρέχει προστασία έναντι επιθέσεων όπως η λήψη κακόβουλων εφαρμογών και εφαρμογών με ενσωματωμένο κακόβουλο λογισμικό.
