Especialistas da Check Point avisou que os desenvolvedores de muitos aplicativos Android populares esqueceram de fazer uma atualização importante e agora seu produto está vulnerável a um bug na biblioteca Play Core.
Então, de acordo com a empresa, sobre 8% de todos os aplicativos da Google Play Store usam versões antigas e inseguras do Biblioteca Play Core. Esta biblioteca foi criada pelo Google e os desenvolvedores podem incorporá-la em seus aplicativos para interagir com a Google Play Store oficial.
A biblioteca é muito popular porque pode ser usada para baixar e instalar atualizações da Play Store, módulos, pacotes de idiomas e até outros aplicativos.
No entanto, no início deste ano, pesquisadores superprotegidos descobriram uma vulnerabilidade séria no Play Core, identificado como CVE-2020-8913. Este bug pode ser explorado por um aplicativo malicioso instalado no dispositivo do usuário e com sua ajuda injetando código perigoso em outros aplicativos, bem como roubar dados confidenciais, incluindo senhas, fotos, 2Códigos FA e muito mais.
Uma demonstração de tal ataque pode ser vista abaixo.
Os engenheiros do Google corrigiram um bug com o lançamento do Jogar Núcleo 1.7.2, lançado em março 2020. No entanto, de acordo com Check Point, nem todos os desenvolvedores atualizaram a biblioteca Play Core a tempo, e agora seus usuários estão em risco.
De acordo com um setembro 2020 digitalizar por Check Point, seis meses após o lançamento do patch, sobre 13% de todos os aplicativos da Google Play Store continuaram a usar versões mais antigas da biblioteca, e somente 5% estavam usando um atualizado (seguro) versão.
A lista de aplicativos que “cumpriram seu dever” aos usuários e atualizou a biblioteca incluída no Facebook, Instagram, Snapchat, WhatsApp e Chrome. Mas, infelizmente, os desenvolvedores de muitos outros aplicativos grandes não fizeram isso. Entre eles, os especialistas listaram o Microsoft Edge, Grindr, OKCupido, Equipes Cisco, Viber, e Booking.com. No total, aplicativos problemáticos foram instalados mais de 250 milhão de vezes.
Os pesquisadores da Check Point escrevem que notificaram os autores de todos os aplicativos vulneráveis sobre o problema, mas três meses depois, apenas Viber e Booking.com se encarregaram de remover esta vulnerabilidade de seus produtos. Por sua vez, O registro relatórios que em dezembro 2, a vulnerabilidade também foi corrigida como parte do Cisco Webex Teams.
Deixe-me lembrá-lo disso Google recruta uma equipe de especialistas para encontrar bugs em aplicativos Android.
