Local,Rio de Janeiro, BR
+ 55 21 99631-6175
contato@onzzi.com.br

Falha no Android pode permitir que aplicativos maliciosos roubem dados do usuário de outros aplicativos

Conhecimento é poder

Falha no Android pode permitir que aplicativos maliciosos roubem dados do usuário de outros aplicativos

Um pesquisador de segurança e fundador da empresa de segurança de aplicativos Oversecured, Sergey Toshin, descobriu uma vulnerabilidade grave que afeta o Android. Ele compartilhou os detalhes das descobertas com o TechCrunch, que revelou o assunto. Conforme revelado, o pesquisador encontrou um bug no sistema operacional Android que pode facilitar aplicativos maliciosos na exfiltração de dados do usuário. Na verdade, esses aplicativos podem explorar o bug para roubar dados confidenciais de outros aplicativos executados no dispositivo de destino. Especificamente, o bug existia na biblioteca Play Core que permite que os desenvolvedores de aplicativos implementem atualizações para os aplicativos. Portanto, todos os aplicativos que contam com esse componente para atualizações eram potencialmente vulneráveis ​​à ameaça. Visto que um aplicativo malicioso pode explorar esse componente para injetar módulos maliciosos em outros aplicativos para roubar dados. Como prova de conceito, o pesquisador até criou um aplicativo de teste que poderia roubar dados com sucesso, incluindo senhas, histórico de navegação, cookies de login.
O Google corrigiu o bug De acordo com o pesquisador, esse bug afetou potencialmente ‘alguns dos aplicativos mais populares’ da Play Store. Esta vulnerabilidade, CVE-2020-8913 , visava especificamente o endpoint SplitCompat.install na Play Core Library. O bug atingiu uma classificação de alta gravidade com uma pontuação CVSS de 8,8. De acordo com a descrição da vulnerabilidade,
Um invasor mal-intencionado pode criar um apk que tem como alvo um aplicativo específico e, se a vítima instalar esse apk, o invasor pode realizar uma travessia de diretório, executar o código como o aplicativo alvo e acessar os dados do aplicativo alvo no dispositivo Android.
Após a descoberta da vulnerabilidade, o Google abordou o assunto para criar uma correção. Consequentemente, eles corrigiram o bug com o lançamento da versão 1.7.2 da Play Core Library em março de 2020. O pesquisador pede a todos os desenvolvedores de aplicativos que atualizem seus aplicativos com a versão mais recente da biblioteca Play Core para permanecer protegidos. Deixe-nos saber sua opinião nos comentários.

Compartilhe
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Comente