Sú absolútne nechránené: Appky pre Android s miliónmi stiahnutí predstavujú vážne riziko
Populárne aplikácie v Obchode Play ostali nechránené, sú vystavené nebezpečnému útoku. Problém sa spája s množstvom obľúbených titulov, ktoré majú milióny stiahnutí. Útočníci môžu pomocou tejto zraniteľnosti získať citlivé údaje, kontakty, prihlasovacie údaje, či dokonca správy používateľov. O probléme informovala bezpečnostná firma Check Point.
Rozsah tohto problému je naozaj veľký. Chyba sa ukrýva v staršej verzii Play Core. Ide o Java knižnicu od Googlu, ktorú vývojári zahŕňajú vo svojich aplikáciách pre interakciu s oficiálnym Obchodom Play.
Pomocou tohto modulu môžu aplikácie stiahnuté z obchodu získavať potrebné aktualizácie, doplnkové balíky a taktiež sťahovať ďalšie aplikácie. Ešte nedávno na podobný problém s Play Core upozornila spoločnosť Oversecured.
Tá odhalila, že prostredníctvom chyby v tomto module môžu nebezpečné aplikácie infikovať zariadenia škodlivým kódom a následne odcudziť citlivé údaje, vrátane hesiel, fotografií a ďalších dát.
Obchod Play stále obsahuje zraniteľné aplikácie
Najnovšie na podobný problém upozornil pred pár dňami Check Point. Google síce chybu v Play Core zaplátal ešte na jar tohto roka, keď vydal novú verziu 1.7.2, avšak mnohí vývojári ju vo svojich aplikáciách nevyužili.
Kvôli tomu tak ostávajú ich aplikácie ďalej nechránené a zraniteľné voči nebezpečným útokom. Podľa bezpečnostnej firmy využívalo Play Core celkovo 13 % všetkých aplikácií v Obchode Play, no z toho len 5 % malo aktualizovanú verziu knižnice s bezpečnostnou záplatou. Ostatné aplikácie ostali nechránené.
| Názov súboru | Názov | Verzia | Počet stiahnutí |
| com.aloha.browser | Aloha | 2.23.0 | 1,000,000 |
| com.walla.wallasports | Walla! Sports | 1.8.3.1 | 100,000 |
| videoeditor.videorecorder.screenrecorder | XRecorder | 1.4.0.3 | 100,000,000 |
| com.tranzmate | Moovit | 5.56.0.459 | 50,000,000 |
| com.walla.wallahamal | Hamal | 2.2.2.1 | 1,000,000 |
| com.indiamart.m | IndiaMART | 12.7.4 | 10,000,000 |
| com.microsoft.emmx | Edge | 45.09.4.5083 | 10,000,000 |
| com.grindrapp.android | Grindr | 6.32.0 | 10,000,000 |
| ru.yandex.taximeter | Yango Pro (Taximeter) | 9.56 | 5,000,000 |
| com.cyberlink.powerdirector | PowerDirector | 7.5.0 | 50,000,000 |
| com.okcupid.okcupid | OkCupid | 47.0.0 | 10,000,000 |
| com.cisco.wx2.android | Teams | 40.10.1.274 | 1,000,000 |
Medzi aplikácie s aktualizovanou verziou Play Core 1.7.2 patria napríklad najpopulárnejšie sociálne siete ako Facebook, Instagram, Snapchat, WhatsApp alebo prehliadač Chrome. Na druhej strane ostalo mnoho takých, ktoré stále fungujú na starej verzii knižnice. Sem patrí taký prehliadač Edge od Microsoftu, zoznamka OkCupid alebo aplikácia Teams a mnoho ďalších.
Bezpečnostní výskumníci z Check Point už pred mesiacmi upozornili vývojárov na túto chybu, no doteraz Play Core updatovali okrem spomenutých iba Viber a Booking.com. Aplikácie so starou verziou Java knižnice Googlu sú zraniteľné voči útokom cez CVE-2020-8913.
Ako môžu útočníci chybu zneužiť?
V skratke sa v sandboxe aplikácií nachádzajú dva priečinky, jeden pre overené súbory z Obchodu Play, druhý pre neoverené súbory z iných zdrojov. Jednotlivé súbory potom podľa zdroja putujú do jedného z týchto dvoch priečinkov. Ak je súbor zaradený medzi overené, môže interagovať s knižnicou Obchodu Play.

Ďalšia funkcia pritom umožňuje zdrojom pretlačiť súbory do sandboxu hostiteľskej aplikácie. Je tu však limit, kvôli ktorému je súbor zaradený do priečinka pre neoverené súbory a nemá automaticky prístup ku knižnici obchodu.
Útočníci však môžu príkazom zapísať súbor do priečinka s overenými aplikáciami. Stačí, aby použili cestu „../verified_splits/my_evil_payload.apk“, potom bude súbor v zraniteľnej aplikácii a môže pristupovať ku knižnici. Tento problém Google opravil v Play Core ešte 6. apríla. Check Point zverejnil demo tohto problému na videu a ďalšie technické detaily popísal aj na svojom blogu.
Niektorí vývojári vyslyšali varovanie, mnohí ho naďalej ignorujú
V prípade zraniteľných aplikácií, ktoré bezpečnostný update od spoločnosti nevyužívajú, môžu útočníci vložiť nebezpečný kód napríklad aj do bankovej aplikácie, SMS aplikácie či iných a získať tak prístup k finančným údajom, textovým správam, ale aj kódom z dvojfaktorového overovania, či dátam o polohe zariadenia.
Pokiaľ teda doteraz vývojári svoje aplikácie neaktualizovali na najnovšiu verziu Play Core, ostávajú voči takémuto útoku zraniteľné. Medzičasom už boli aktualizované aj aplikácie od Both Grindr & Moovit a Cisca. Naďalej sa však v Obchode Play nachádza množstvo aplikácií, ktoré knižnicu neaktualizovali a predstavujú bezpečnostnú hrozbu.
Čítajte viac z kategórie: Aplikácie
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú

Jedna appka mala Slovákom zjednodušiť cestovanie. Vyzerá to však na národnú hanbu za 26 mil. eur

Ak 20-krát neuhádneš PIN mobilu, už ho ním neodomkneš. Androidy dostanú vylepšenie

Rusko odporúča ľuďom okamžite prejsť na Android. Američania ich pichli do citlivého miesta

Microsoft prehral boj s používateľmi. Windows 10 dostal druhú šancu

AKTUÁLNE: Facebook postihol masívny výpadok. Ľudia hlásia problémy po celom svete
NAJČÍTANEJŠIE ZO STARTITUP

Vysoký cholesterol trápi väčšinu Slovákov. Kardiológovia vybrali potraviny, ktoré môžu zabrať už do dvoch týždňov
PREMIUMSlovenka v Dubaji vybudovala veterinárnu kliniku. „Úspech sprevádzali roky neistoty“

Slovenská banka posiela do Cicmanovej firmy 33 miliónov eur, chce zrýchliť jej expanziu v Európe

Železnice SR odhalili nečakaného vinníka masívnych meškaní. Tvor poškodil trakčné vedenie

Rekordných 871 miliónov na stole: Pozri sa, koľko zarobia Messiho Argentína a rozbehnuté Španielsko vo finále MS
- 24 hod
- 48 hod
- 7 dní
-
- Nečakaný zvrat dvoch automobiliek. Na svete je nový spaľovací motor pre elektromobily, má to však háčik
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a v Európe dostali zelenú
- Mladí nefajčiari nečakane dostávajú rakovinu pľúc. Vedci našli krutý paradox zdravej stravy
- Legendárny režisér odhalil svoje nové sci-fi. Ľudstvo v ňom zničil krutý vírus a rozpútal šialenstvo
- Je efektívnejší než tepelné čerpadlo a ušetrí ti stovky eur. Na svete je revolučný spôsob, ako ohrievať vodu
-
- Obrovský zvrat vo Volkswagene. Autá pre kľúčový trh už nedodá zo Slovenska, zaplaví ho lacnejšou Čínou
- Zlý film ešte nenatočil. Christoper Nolan chystá najväčšiu vec, do akej sa kedy pustil
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a v Európe dostali zelenú
- Mladí nefajčiari nečakane dostávajú rakovinu pľúc. Vedci našli krutý paradox zdravej stravy
- Slováci chcú ušetriť na prezúvaní. Tieto pneumatiky však majú háčik, ktorý sa ukáže až na ceste
-
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a v Európe dostali zelenú
- Majú vydržať desaťročia, no kapú po 3 rokoch. LED žiarovky doplácajú na marketingovú lož
- Slováci robia pri kúpe klimatizácie rovnakú chybu. V horúčavách za ňu draho zaplatia
- Obrovský zvrat vo Volkswagene. Autá pre kľúčový trh už nedodá zo Slovenska, zaplaví ho lacnejšou Čínou
- Nemáš doma klimatizáciu? Byt vieš ochladiť aj lacnejšie, no väčšina ľudí robí jednu zásadnú chybu
NBS varuje Slovákov pred viacerými kryptoplatformami. Služby ponúkali bez povolenia
Slovensko posúva dopredu jeden z najväčších energetických projektov
Google definitívne prehral. EÚ potvrdila rekordnú pokutu za Android
Čínska automobilka mieri vysoko. Do roku 2030 chce ovládnuť až 5 % európskeho trhu
Ázijský tiger spúšťa veľkú investíciu. Do výroby čipov naleje viac než 500 miliárd dolárov
Holandsko úplne zmenilo svojich dodávateľov energií. Rusov nahradilo USA, dovoz prudko stúpol
Európa zrýchľuje budovanie obrovských batérií. Podporí projekty, ktoré majú stabilizovať elektrické siete
NAJČÍTANEJŠIE ZO STARTITUP

Vysoký cholesterol trápi väčšinu Slovákov. Kardiológovia vybrali potraviny, ktoré môžu zabrať už do dvoch týždňov
PREMIUMSlovenka v Dubaji vybudovala veterinárnu kliniku. „Úspech sprevádzali roky neistoty“

Slovenská banka posiela do Cicmanovej firmy 33 miliónov eur, chce zrýchliť jej expanziu v Európe

Železnice SR odhalili nečakaného vinníka masívnych meškaní. Tvor poškodil trakčné vedenie

