Android: alcune applicazioni usano librerie Google Play Core vulnerabili

Android: alcune applicazioni usano librerie Google Play Core vulnerabili

La falla era stata risolta ad aprile, e divulgata pubblicamente ad agosto. Ma alcune app non hanno aggiornato le librerie e possono essere ancora vulnerabili

di pubblicata il , alle 10:31 nel canale Sicurezza
Android
 

Su Google Play Store sono presenti svariate applicazioni, alcune delle quali anche particolarmente diffuse, che sfruttano una versione vulnerabile della libreria Google Play Core e sono pertanto soggette al rischio di compromissione con possibile esecuzione di codice dannoso e furto di credenziali.

La libreria Google Play Core è la porta d'accesso per l'interazione con i Google Play Services direttamente all'interno dell'applicazione, a partire dal caricamento dinamico di codice, fino a erogare risorse specifiche e interagire con i sistemi di revisione di Google Play.

Il problema è stato evidenziato da un'analisi di CheckPoint Research, che descrive nel dettaglio la falla e i possibili conseguenti problemi, indicando inoltre una lista di applicazioni note che ancora non hanno aggiornato le librerie alle versioni più recenti e più sicure. In generale circa il 13% delle app su Google Play Store non fa ancora uso della libreria aggiornata.

Lo scorso mese di aprile Google aveva emesso un aggiornamento per risolvere la falla, che è stata successivamente divulgata in forma pubblica nel corso del mese di agosto. In altre parole queste app sono ancora vulnerabili ai problemi esposti, e il punto focale è che questo problema di sicurezza è, da qualche mese, noto anche agli hacker.

Dopo la segnalazione di CheckPoint alcune realtà hanno aggiornato le app, tra queste Viber, Booking, Grindr, Moovit e Cisco, ma il browser Edge risulterebbe ancora vulnerabile. Il consiglio è ovviamente quello di aggiornare subito, nel caso non siano stati attivati gli aggiornamenti automatici.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
nx-9908 Dicembre 2020, 13:46 #1
Ma, dai commenti del video leggo:

the exploit work if you install the app
sooo if i dont install
nothing not hapen

Comunque Google la bottega dei giochi resta sempre una groviera.
WarDuck08 Dicembre 2020, 14:28 #2
Originariamente inviato da: nx-99
Ma, dai commenti del video leggo:

the exploit work if you install the app
sooo if i dont install
nothing not hapen

Comunque Google la bottega dei giochi resta sempre una groviera.


Nel caso di Google non mi è chiaro perché la libreria non venga fornita direttamente con le Android/GApps e non venga aggiornata insieme al resto (come una qualsiasi app).

Il problema infatti è che sempre più app di fatto integrano codice nativo, usando librerie più disparate.

Se ci fosse un meccanismo stile "repository" per tirare giù le dipendenze all'installazione di un'app, il sistema potrebbe essere mantenuto aggiornato centralmente (come accade per i repository delle distro GNU/Linux appunto).

In ogni caso una grossa parte delle responsabilità rimane sempre a carico dello sviluppatore dell'App.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^