Popularne aplikacje na Androida, takie jak przeglądarka internetowa Microsoft Edge, usługi randkowe Grindr czy OKCupid, wciąż są podatne na nadużycia ze strony cyberprzestępców - ostrzegają eksperci z zajmującej się cyberbezpieczeństwem firmy Check Point.

Główne ryzyko, jakie wiąże się z potencjalnym wykorzystaniem podatności popularnych programów na telefony z Androidem, to utrata danych osobowych oraz poufnych informacji finansowych, takich jak np. loginy do usług bankowości elektronicznej czy numery kart płatniczych - twierdzi firma. W ocenie specjalistów szczególnym problemem pozostaje podatność katalogowana pod nazwą kodową CVE-2020-8913, która została po raz pierwszy zgłoszona pod koniec sierpnia 2020 r. Umożliwia ona atakującym wstrzyknięcie złośliwego kodu w aplikację, co z kolei pozwala im na dostęp do danych innych programów zainstalowanych na urządzeniu ofiary.

Działanie podatności CVE-2020-8913 opiera się na luce biblioteki Google Play Core, która pozwala programistom na przesyłanie aktualizacji oprogramowania, w tym - nowych modułów funkcji do aplikacji na Androida. Problem polega na tym, że podatność umożliwia przesłanie wykonywalnego kodu do dowolnej aplikacji wykorzystującej bibliotekę Google Play Core.

Google zostało poinformowane o istnieniu podatności krótko po jej wykryciu przez firmę Oversecured. Choć koncern z Mountain View naprawił pierwotny błąd biblioteki, nie wszyscy programiści zaktualizowali ją w swoich aplikacjach. Według ekspertów z Check Point problem braku łatki zabezpieczającej przed działaniem podatności dotyczy m.in. takich programów, jak: Viber, Booking, Cisco Teams, Moovit, Yango Pro, Grindr, OKCupid i Bumble, a także Xrecorder, PowerDirector i Edge.

Wszyscy twórcy oprogramowania, u których stwierdzono lukę, zostali poinformowani przez Check Point o tym fakcie i wezwani do jak najszybszej aktualizacji biblioteki Google Play Core w swoich produktach. (PAP)