`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Из-за устаревшей версии библиотеки Play Core множество приложений уязвимы для атак

+11
голос

Исследователи Check Point Software Technologies подтвердили, что популярные приложения в Google Play Store по-прежнему подвержены известной уязвимости CVE-2020-8913 – а значит, сотни миллионов пользователей Android подвергаются значительному риску. Впервые об этой бреши сообщили в конце августа исследователи Oversecured. Используя ее, злоумышленник может внедрить вредоносный код в уязвимые приложения, предоставляя доступ ко ресурсам хост-приложения. В итоге хакер может получить доступ к конфиденциальным данным из других приложений на устройстве.

Проблема коренится в широко используемой библиотеке Play Core, которая позволяет разработчикам загружать обновления и добавлять функциональные модули в приложения для Android. Уязвимость дает возможность добавлять исполняемые модули в любые приложения, которые используют библиотеку. Если злоумышленник получает доступ к одному вредоносному приложению на устройстве жертвы, то дальше он может украсть ее личную информацию: логины, пароли, финансовые данные, письма в почте.

Разработчикам нужно как можно быстрее обновить приложения.

Google признал и исправил ошибку 6 апреля, присвоив ей 8,8 баллов опасности из 10. Однако, чтобы полностью устранить угрозу, разработчики должны были внедрить патч в свои приложения. Исследователи Check Point случайным образом выбрали несколько известных приложений, чтобы посмотреть, кто действительно внедрил исправление, предоставленное Google.

В течение сентября 13% приложений Google Play из всех проанализированных специалистами Check Point, использовали библиотеку Play Core. При этом у 8% из них были уязвимые версии. В их числе был Viber, Booking, Cisco Teams, Moovit и пр.

«По нашим оценкам, в опасности находятся сотни миллионов пользователей Android, – рассказывает Авиран Хазум (Aviran Hazum), менеджер по мобильным исследованиям Check Point. – Хотя Google выпустила патч, многие приложения по-прежнему используют устаревшие библиотеки Play Core. Уязвимость CVE-2020-8913 очень опасна. Если вредоносное приложение использует эту брешь, оно может получить доступ к тем же данным, что и уязвимая программа. Если киберпреступник внедрит код в приложения социальных сетей, он сможет шпионить за жертвами, если введет код в мессенджеры – получит доступ ко всем сообщениям. Возможности атаки здесь ограничены только воображением злоумышленников».

Защита промышленных сетей: основные риски и сценарии атак

+11
голос

Напечатать Отправить другу

Читайте также

Какая неожиданность!!!
Какой сложный отбор погроммистов в Гугол, вереницы интервью, проверка толерантности. Наилучшие инженеры планеты.

И нате вам пожалуста - изделие Андроид! Полностью повторило успех инфраструктуры IBM PC, 1980х годов, а уж в 90х...

Мне нравится, как забыли в этом списке упомянуть MS Edge - самый защищённый и корпоративный браузер :)

Вот полный список того, что нашли по состоянию на 2 Декабря. Всё, что со звездами - уже пропатчено

Social – *Viber
Travel – *Booking
Business – ***Cisco Teams
Maps and Navigation – Yango Pro (Taximeter), **Moovit
Dating – **Grindr, OKCupid
Browsers – Edge
Utilities – Xrecorder, PowerDirector

А по поводу наездов на качество Гугля - ну да, то что разрабы отдельных приложений не удосужились пропатчится - это Андроид виноват, да...

Как только станет возможным накатывать ванильный дистрибутив Андроида (с сайта Гугла) таким же способом, как и современные Убунты... Тогда можно говорить об "успешности" и обратной совместимости.

Теперь коснемся play market. Во время загрузки разработчиком приложений и "расшаривания" для продажи - "гугол" ничегошеньки не проверяет своим "антивирусом/сканером"?

Окаааййй тогда.

За каким лешим тогда извели тонны бумаги и пикселей на мониторах, прокачивая тему CI/CD (Красная шапка сейчас с таким носится, аже бедные ЦентОС бренд в унитаз спустили).

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT