Google ha risolto ad aprile una grave vulnerabilità (CVE-2020-8913) nella libreria Play Core, ma gli esperti di Check Point Software Technologies hanno scoperto che sul Play Store sono presenti ancora molte app non aggiornate che rappresentano un rischio per gli utenti. Tra le più note c’è anche Edge, il browser di Microsoft basato su Chromium.
Il bug in questione consente l’esecuzione di codice arbitrario all’interno delle applicazioni Android con una versione vulnerabile nella libreria Google Play Core. Quest’ultima è il componente di Android che permette agli sviluppatori di gestire la distribuzione dei moduli delle app, scaricare lingue aggiuntive o attivare gli aggiornamenti in-app. Ciò avviene a “runtime” attraverso l’interazione con i Google Play Services.
Un malware potrebbe sfruttare la vulnerabilità per eseguire codice all’interno delle app. Sarebbe possibile eseguire una serie di azioni molto pericolose, come il furto delle credenziali delle app bancarie e dei codici dell’autenticazione a due fattori, l’accesso a dati aziendali, tracciare la posizione del dispositivo (e quindi dell’utente) e leggere tutti i messaggi delle app di messaggistica.
Come detto, Google ha rilasciato una patch ad aprile, ma la versione aggiornata della libreria deve essere inserita nelle app. Secondo una verifica effettuata da Check Point, l’8% delle app presenti sul Play Store sono ancora vulnerabili. Tra i nomi più noti ci sono Microsoft Edge, Cisco Teams*, Moovit*, Grindr*, OKCupid e PowerDirector. Viber e Booking, inizialmente incluse nell’elenco, sono state aggiornate nelle scorse settimane.
Una dimostrazione della vulnerabilità (effettuata con una vecchia versione di Chrome), scoperta dai ricercatori di Oversecured, è stata pubblicata su YouTube da Check Point.
*Aggiornamento del 4 dicembre: le versioni più recenti di Moovit, Cisco Teams e Grindr non sono più vulnerabili.