Domů » Články » Miliony uživatelů Androidu v ohrožení. Zranitelnost obsahuje i prohlížeč Edge

Miliony uživatelů Androidu v ohrožení. Zranitelnost obsahuje i prohlížeč Edge

Výzkumný tým společnosti Check Point varuje před známou zranitelností CVE-2020-8913, která se stále ukrývá v mnoha aplikacích na Google Play. Hackeři mohou s její pomocí vkládat škodlivé kódy do zranitelných aplikací a špehovat uživatele nebo krást data a finance.

Výzkumníci z Check Pointu potvrdili, že oblíbené aplikace v obchodě Google Play jsou i nadále zranitelné a obsahují známou chybu CVE-2020-8913, kvůli které zůstávají v ohrožení stovky milionů uživatelů používajících zařízení se systémem Android. Útočníci totiž mohou vložit škodlivý kód do zranitelných aplikací a získat přístup ke všem zdrojům hostitelské aplikace.

malware
Ilustrační obrázek

Zranitelnost souvisí s oblíbenou knihovnou Google Play Core, která vývojářům umožňuje zasílat aktualizace a moduly s novými funkcemi v rámci aplikace. Zneužití by útočníkům umožnilo přidat spustitelné moduly do aplikací využívajících tuto knihovnu a spustit v nich libovolný kód. Útočník, který má v zařízení oběti nainstalovanou aplikaci s malwarem, by mohl ukrást soukromé informace uživatelů, jako jsou přihlašovací údaje, hesla, finanční informace nebo zprávy.

Vina už není na straně Googlu, ale u vývojářů

Google vyhodnotil závažnost zranitelnosti jako 8,8 z 10 a vydal záplatu 6. dubna 2020. Vývojáři ovšem musí aktualizovanou knihovnu nahrát do svých aplikací. Check Point náhodně vybral několik velmi rozšířených aplikací a zjistil, že zranitelnost může stále ještě napáchat mnoho škod.

Zranitelné aplikace

V průběhu září používalo 13 % Google Play aplikací analyzovaných Check Pointem knihovnu Google Play Core a 8 % z těchto aplikací mělo i nadále zranitelnou verzi. Zranitelné jsou například:

  • Komunikační platforma Viber
  • Oblíbená cestovní aplikace Booking
  • Podniková aplikace Cisco Teams
  • Mapy a navigace Yango Pro (Taximeter), Moovit
  • Seznamovací aplikace Grindr, OKCupid, Bumble
  • Webový prohlížeč Edge od Microsoftu (verze 45.09.4.5083)
  • Nástroje Xrecorder, PowerDirector

Před zveřejněním analýzy Check Point informoval vývojáře aplikací o nutnosti aktualizovat knihovnu. Aplikace Viber a Booking byly po upozornění ihned opraveny. Poměrně překvapivé je, že Microsoft u svého prohlížeče Edge knihovnu doposud nedokázal aktualizovat.

Jak útok probíhá?

  1. Uživatel nainstaluje škodlivou aplikaci.
  2. Škodlivá aplikace zneužije aplikaci se zranitelnou verzí knihovny Google Play Core (GPC).
  3. GPC zpracuje a načte škodlivý kód a spustí útok.
  4. Hacker získá přistupovat ke všem zdrojům hostitelské aplikace.
malware utok
Infografika ukazující průběh útoku

Ukázka útoku na aplikaci Google Chrome

Pro ukázku útoku na konkrétní aplikaci použil Check Point zranitelnou verzi aplikace Google Chrome. Hackeři mohou použít cookies k narušení bezpečnosti dalších služeb, jako je například DropBox. Jakmile je škodlivý kód vložen do prohlížeče Google Chrome, získá útočník přístup ke cookies, historii a záložkám nebo správě hesel.

Account Takeover exploiting vulnerability in Android's Play Core Library Code - Demo

Odhadujeme, že stovky milionů uživatelů Androidu jsou v ohrožení. Ačkoli Google implementoval záplatu, mnoho aplikací stále ještě používá zastaralé knihovny Play Core. Zranitelnost CVE-2020-8913 je velmi nebezpečná. Pokud ji útočníci zneužijí, mohou spustit kód v populárních aplikacích a získat stejný přístup jako zranitelná aplikace. Hrozí tedy například krádeže dvoufaktorových autentizačních kódů nebo přihlašovacích údajů, špehování uživatelů a jejich aktivit na sociálních sítích nebo odposlouchávání komunikace v chatovacích aplikacích. Záleží jen na fantazii hackerů, jak se rozhodnou zranitelnost zneužít,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.

Roman Hálek

Technologie 21. století mě inspirují a neustále popohání vpřed. Rád o nich píši a ještě radši je všechny zkouším. A pokud zrovna nesedím u klávesnice, s nadšením běhám, nebo se proháním na kole, a s nepatrně menším nadšením dálkově studuji vysokou školu.

14 komentářů

  1. roztomilymedvidek

    Pouzivam android 9 let a za tu dobu ani jeden zavazny problem, takze bych ty kecy o virech vubec neresil, nepouzivam ani zadny antivir, bo to akorat otravuje a brzdi system, prohlizec pouzivam Chrome a taky zadny problem, vsechna vyskakujici okna mam bloknute a neinstaluju kazdou blbost.
    Jak jednoduche.

    • Jenze ty nejsi vetsina. Trochu premyslej, jestli to neni problem.

    • U fanatického uživatele Androidu je to vždy problém.

    • Medvidek a jeho pohadky :) Lol. Chudak jeden.

    • Mel jsi jen stesti, medvidku. Ja bych tak hloupy uzivatel jako ty, koupil bych Aligatora.
      [odkaz]

      Jinak kazdy samozrejme vi, ze Android je z hlediska bezpecnosti na chvostu.

  2. Android… past vedle pasti… chudáci obyčejní lidé 🙁

    • …no jo,na vás neobyčejné lidi prostě nemáme… Ale POZOR!!! I v Mercedesu za 2 a půl milionu můžeš dostat smyk…

    • Ani očko nenasadíš… Věc co na zbytku strojů trva minutu, maximálně dvě, tady celeeeeeej den dop—-če

  3. MS čeká, až mu to dovolí NSA – až bude mít náhradu.

  4. A tady je hezky vidět, jak Google kašle na komplexní bezpečnost. Opravy tak závažných bezp. chyb by měly být vynuceny a kdo neaktualizuje do určitého termínu, tak automaticky mu stáhnout aplikaci z Play. Je smutné, že vývojáři stále můžou distribuovat aplikace z bezp. chybou, která již byla opravena, ale jim se z nějakého důvodu do aktualizace nechce.

  5. Edge bol aktualizovany 16.12. na verziu 45.11.4.5118 kde by tato chyba mala byt adresovana. Cize, znovu velke halo kvoli 2 dnom (hore zmienovana verzia je z 14.12.)

  6. Zadnou z jmenovanych aplikaci nepouzivam ale i tak me tohle celkem znepokojuje.

  7. Problem Androidu je, ze realna kontrola toho co tie aplikacie robia je fakt mizerna. Prejde tym prakticky cokolvek a myslim, ze Google by k tomu mal pristupovat zodpovednejsie.

  8. Kdo není schopen za 5 let koupit nový telefon, tak ať si koupí předplacenou kartu a volá z automatu z nádraží. Dobře jim tak.

Napište komentář

Redakce si vyhrazuje právo mazat komentáře, které nesouvisejí s tématem diskuze, nebo jsou útočného či urážlivého charakteru (pomluvy, vulgarity, rasismus či ponižování). V případě porušení těchto pravidel chování může redakce zakázat přístup do diskuze.

Odeslané komentáře jsou strojově kontrolovány (spam, nevhodné výrazy…).