Laxiste développeurs d’applications Android mettant des millions d’utilisateurs en danger

Les développeurs d’applications Android mettent des millions d’utilisateurs en danger en omettant de mettre à jour la bibliothèque Play Core largement utilisée par Google pour couvrir un bug qui a été corrigé en avril 2020, a averti Check Point.

La faille CVE-2020-8913 est une vulnérabilité locale et arbitraire d’exécution de code qui permet à un acteur malveillant de créer un kit de paquets Android (APK) ciblant une application spécifique qui leur permet d’exécuter du code en tant qu’application ciblée et d’accéder à ses données détenues sur l’appareil utilisateur. Cela peut inclure des informations privées telles que des informations d’identification de connexion, des détails financiers, des messages privés ou des photos.

Il est enraciné dans la bibliothèque Play Core, un élément crucial pour permettre aux développeurs de pousser leurs propres mises à jour in-app et de nouveaux modules de fonctionnalités pour vivre des applications. La bibliothèque Play Core est utilisée dans environ 13% des applications disponibles sur le Google Play Store en septembre 2020

Il a été corrigé par Google le 6 avril 2020, mais comme il s’agit d’une vulnérabilité côté client – par opposition à une vulnérabilité côté serveur qui est complètement patchée une fois que le patch est appliqué au serveur – l’atténuer efficacement exige que chaque développeur utilisant Play Core Library saisit la version patchée et l’installe dans son application. Huit mois plus tard, beaucoup n’ont toujours pas réussi à le faire.

Aviran Hazum, responsable de la recherche mobile chez Check Point, a déclaré : « Nous estimons que des centaines de millions d’utilisateurs d’Android sont à risque pour la sécurité. Bien que Google ait implémenté un correctif, de nombreuses applications utilisent encore des bibliothèques Play Core obsolètes.

« La vulnérabilité CVE-2020-8913 est très dangereux, at-il dit. « Si une application malveillante exploite cette vulnérabilité, elle peut obtenir l’exécution de code à l’intérieur d’applications populaires, obtenant le même accès que l’application vulnérable. Par exemple, la vulnérabilité peut permettre à un acteur de menace de voler des codes d’authentification à deux facteurs ou d’injecter du code dans les applications bancaires pour saisir les informations d’identification.

« Ou un acteur de menace pourrait injecter du code dans les applications de médias sociaux pour espionner les victimes ou injecter du code dans toutes les applications de messagerie instantanée pour saisir tous les messages. Les possibilités d’attaque ici ne sont limitées que par l’imagination d’un acteur de la menace », a déclaré Hazum.

Contacté par Check Point, Google a confirmé que CVE-2020-8913 « n’existe pas » dans les versions actuelles de Play Core.

Néanmoins, la faille existe toujours dans Bumble, Cisco Teams, Edge, Grindr, Moovit, PowerDirector, Xrecorder et Yango Pro, et il s’agit d’un petit échantillonnage sélectionné au hasard d’applications de haut niveau étudiées par Check Point.

Tous les développeurs de ces applications ont depuis été contactés par Check Point, mais au moment de la rédaction, il n’est pas clair si oui ou non ils ont été mis à jour.

Les utilisateurs de ces applications devraient envisager d’installer une solution mobile de défense des menaces sur leur appareil s’ils ne l’ont pas déjà fait. Ces services traitent généralement des menaces au niveau de l’appareil, de l’application et du réseau, et devraient fournir une protection adéquate. Pour les utilisateurs d’appareils d’entreprise, MTD devrait faire partie d’une stratégie de gestion de la mobilité d’entreprise.

Les outils actuellement disponibles incluent la défense mobile de Proofpoint, le mobile de protection de point final de Symantec, le zIPS de Zimperium et le sandblast mobile de Check Point.