Eksperci: popularne aplikacje na Androida wciąż podatne na nadużycia

Popularne aplikacje na Androida, takie jak przeglądarka internetowa Microsoft Edge, usługi randkowe Grindr czy OKCupid, wciąż są podatne na nadużycia ze strony cyberprzestępców - ostrzegają eksperci z zajmującej się cyberbezpieczeństwem firmy Check Point.
Główne ryzyko, jakie wiąże się z potencjalnym wykorzystaniem podatności popularnych programów na telefony z Androidem, to utrata danych osobowych oraz poufnych informacji finansowych, takich jak np. loginy do usług bankowości elektronicznej czy numery kart płatniczych - twierdzi firma. W ocenie specjalistów szczególnym problemem pozostaje podatność katalogowana pod nazwą kodową CVE-2020-8913, która została po raz pierwszy zgłoszona pod koniec sierpnia 2020 r. Umożliwia ona atakującym wstrzyknięcie złośliwego kodu w aplikację, co z kolei pozwala im na dostęp do danych innych programów zainstalowanych na urządzeniu ofiary.
Działanie podatności CVE-2020-8913 opiera się na luce biblioteki Google Play Core, która pozwala programistom na przesyłanie aktualizacji oprogramowania, w tym - nowych modułów funkcji do aplikacji na Androida. Problem polega na tym, że podatność umożliwia przesłanie wykonywalnego kodu do dowolnej aplikacji wykorzystującej bibliotekę Google Play Core.
Google zostało poinformowane o istnieniu podatności krótko po jej wykryciu przez firmę Oversecured. Choć koncern z Mountain View naprawił pierwotny błąd biblioteki, nie wszyscy programiści zaktualizowali ją w swoich aplikacjach. Według ekspertów z Check Point problem braku łatki zabezpieczającej przed działaniem podatności dotyczy m.in. takich programów, jak: Viber, Booking, Cisco Teams, Moovit, Yango Pro, Grindr, OKCupid i Bumble, a także Xrecorder, PowerDirector i Edge.
Wszyscy twórcy oprogramowania, u których stwierdzono lukę, zostali poinformowani przez Check Point o tym fakcie i wezwani do jak najszybszej aktualizacji biblioteki Google Play Core w swoich produktach. (PAP)
Comments powered by CComment