Alerta! Apps famosos para Android continuam vulneráveis a brecha antiga

Ramon de Souza
·2 minuto de leitura

Pesquisadores da Check Point emitiram um alerta a respeito de uma série de aplicativos (muitos deles famosos, com milhões de usuários únicos) para Android que continuam vulneráveis a uma vulnerabilidade descoberta em agosto deste ano. A brecha em si (CVE-2020-8913) encontra-se na biblioteca Play Core do Google, que é utilizada por desenvolvedores para enviar novos módulos de recursos em seus softwares.

A biblioteca em si já teve a vulnerabilidade corrigida pelo Gigante das Buscas, mas os programadores também precisam atualizar seus aplicativos com a nova versão do Play Core — caso contrário, seus usuários continuam expostos a ameaças. Criminosos que exploram a falha são capazes de invadir o app vulnerável, tomar controle de vários recursos do smartphone e até mesmo roubar dados pessoais como logins e senhas.

Segundo a Check Point, em setembro, 13% dos apps presentes na Play Store utilizava o Play Core; desse montante, 8% ainda empregava a edição vulnerável da biblioteca. Os softwares em questão são os seguintes:

  • Viber

  • Booking

  • Cisco Teams

  • Yango Pro

  • Moovit

  • Grindr

  • OkCupid

  • Bumble

  • Edge

  • XRecorder

  • PowerDirector

Todos os responsáveis por tais nomes foram notificados pelos pesquisadores. Em contato com o Canaltech, a Moovit informa que já liberou uma atualização de seu aplicativo para resolver o problema.

A culpa é de quem?

“Estima-se que centenas de milhões de usuários do Android estão com a sua segurança em risco. Ainda que o Google tenha implementado uma correção (patch), muitos aplicativos ainda estão usando bibliotecas Play Core desatualizadas. A vulnerabilidade CVE-2020-8913 é altamente perigosa”, explica Aviran Hazum, gerente de pesquisa do segmento móvel da Check Point.

“Ela [a vulnerabilidade] pode, por exemplo, permitir que um atacante roube códigos de autenticação dupla ou injete códigos em aplicações bancárias, de forma a obter as credenciais. Ou, ainda, executar códigos em aplicativos de redes sociais que permitam espionar vítimas ou acessar as suas mensagens. As possibilidades de ataque estão limitadas apenas pela imaginação do atacante”, finaliza a executiva.

Infelizmente, por enquanto, não há muito o que o usuário final possa fazer para se proteger contra tal ameaça, já que a responsabilidade da atualização é do próprio desenvolvedor.

Fonte: Canaltech

Trending no Canaltech: