Los desarrolladores de aplicaciones de Android están poniendo en riesgo a millones de usuarios al no actualizar la biblioteca Play Core ampliamente utilizada de Google para cubrir un error que se corrigió en abril de 2020, advirtió Check Point.
La falla CVE-2020-8913 es una vulnerabilidad de ejecución de código arbitrario local que permite a un actor malintencionado crear un kit de paquetes de Android (APK) dirigido a una aplicación específica que les permite ejecutar código como la aplicación de destino y acceder a sus datos almacenados en el dispositivo de usuario. Esto puede incluir información privada como credenciales de inicio de sesión, detalles financieros, mensajes privados o fotos.
Tiene sus raíces en la biblioteca de Play Core, un elemento crucial para permitir a los desarrolladores impulsar sus propias actualizaciones en la aplicación y nuevos módulos de funciones para aplicaciones en vivo. La biblioteca Play Core se usa en aproximadamente el 13% de las aplicaciones disponibles en Google Play Store a partir de septiembre de 2020
Fue parcheado por Google el 6 de abril de 2020, pero como es una vulnerabilidad del lado del cliente, a diferencia de una vulnerabilidad del lado del servidor que se parchea por completo una vez que el parche se aplica al servidor, mitigarlo de manera efectiva requiere que cada desarrollador use Play Core Library para tomar la versión parcheada e instalarla en su aplicación. Ocho meses después, muchos aún no lo han hecho.
Aviran Hazum, gerente de investigación móvil de Check Point, dijo: “Estimamos que cientos de millones de usuarios de Android están en riesgo de seguridad. Aunque Google implementó un parche, muchas aplicaciones todavía usan bibliotecas de Play Core obsoletas.
“La vulnerabilidad CVE-2020-8913 es altamente peligrosa”, dijo. “Si una aplicación maliciosa aprovecha esta vulnerabilidad, puede obtener la ejecución de código dentro de aplicaciones populares, obteniendo el mismo acceso que la aplicación vulnerable. Por ejemplo, la vulnerabilidad podría permitir a un actor de amenazas robar códigos de autenticación de dos factores o inyectar código en aplicaciones bancarias para obtener credenciales.
“O un actor de amenazas podría inyectar código en aplicaciones de redes sociales para espiar a las víctimas o inyectar código en todas las aplicaciones de mensajería instantánea para capturar todos los mensajes. Las posibilidades de ataque aquí solo están limitadas por la imaginación de un actor de amenazas ”, dijo Hazum.
Al ser contactado por Check Point, Google confirmó que CVE-2020-8913 «no existe» en las versiones actualizadas de Play Core.
Sin embargo, la falla aún existe en Bumble, Cisco Teams, Edge, Grindr, PowerDirector, Xrecorder y Yango Pro, y esta es una pequeña muestra seleccionada al azar de aplicaciones de alto perfil estudiadas por Check Point. Tres aplicaciones en el muestreo original, Booking, Moovit y Viber, han confirmado desde entonces que han corregido el problema.
Todos los demás desarrolladores de estas aplicaciones han sido contactados por Check Point, pero en el momento de escribir este artículo, no está claro si se han actualizado o no.
Los usuarios de estas aplicaciones deben considerar instalar una solución de defensa contra amenazas móviles en su dispositivo si aún no lo han hecho. Estos servicios suelen abordar las amenazas a nivel de dispositivo, aplicación y red, y deben proporcionar la protección adecuada. Para los usuarios de dispositivos corporativos, MTD debe formar parte de una estrategia de gestión de movilidad empresarial.
Las herramientas disponibles actualmente incluyen Mobile Defense de Proofpoint, Endpoint Protection Mobile de Symantec, zIPS de Zimperium y SandBlast Mobile de Check Point.