La cyber security di centinaia di milioni di utenti Android è a rischio, di nuovo. Questa volta non si può puntare il dito contro una sola app. Il problema è un bug di Google Play Store. Il fatto che questo renda poco sicura una serie di app è solo una complicazione. Come se non bastasse, la lista delle app vulnerabili include nomi di un certo peso: il social Viber, la popolare app Booking, Cisco Teams, Moovit, Grindr, OKCupid, Bumble, il browser Edge e le utilities Xrecorder e PowerDirector.

Il campionario è variegato ed è tutto riconducibile alla vulnerabilità CVE-2020-8913, che ha un indice di gravità di 8.8 su 10. Si tratta di una falla nota, che permette ai cyber criminali di diffondere un codice dannoso per ottenere l'accesso a tutte le risorse dell'hosting. Un attaccante può sfruttare le app vulnerabili per sottrarre dati sensibili (credenziali, password e dati di pagamento) da altre applicazioni installate sullo stesso dispositivo.

Il ruolo degli sviluppatori

A rimettere l'accento sul problema sono stati i ricercatori di Check Point Software Technologies. A seguito della prima segnalazione ad opera dei ricercatori di Oversecured, la questione non è ancora chiusa. Non per colpa di Google. L'azienda di Mountainn View ha reso disponibile la patch il 6 aprile 2020. 

Il problema è che per depennare la minaccia è necessario che gli sviluppatori inseriscano tale patch in ciascuna delle app a rischio, fra cui quelle elencate sopra. Questo non è stato fatto, come ha dimostrato il lavoro di Check Point Software Technologies, che ha passato in rassegna alcune app a titolo di controllo e ne ha trovate molte sguarnite dell'importante correttivo. 

In particolare, a settembre 2020 risultava che il 13% delle app Google Play utilizzava la libreria Google Play Core. Di queste l'8% aveva una versione vulnerabile di tale componente. Anche se il problema originario affliggeva Google, il fatto che lacune app siano a rischio a questo punto è unicamente responsabilità dei rispettivi sviluppatori.

Che cosa può accadere in assenza della patch

I cyber criminali possono diffondere un codice dannoso nelle applicazioni vulnerabili, garantendosi l'accesso a tutte le risorse e a tutti i dati dell’hosting, quindi in ultima analisi del dispositivo che ospita queste app. Il motivo di questo effetto domino è che la falla risiede nella libreria Play Core di Google. È la stessa che permette agli sviluppatori di aggiungere aggiornamenti in-app e nuovi moduli di funzionalità. 

Sfruttando la vulnerabilità, si possono infatti aggiungere moduli eseguibili a qualsiasi app che utilizzi la libreria. In altre parole, si può eseguire codice arbitrario al suo interno. Un aggressore, con una malware app installata sul dispositivo della vittima, potrebbe rubare tutte le sue informazioni private.
Per portare a termine l'attacco bastano quattro mosse: installazione dell’app vulnerabile e dannosa, l'app sfrutta un'applicazione con una versione vulnerabile di Google Play Core (GPC). GPC gestisce il payload, lo carica ed esegue l'attacco, il payload può accedere a tutte le risorse disponibili.

Aviran Hazum, Manager of Mobile Research di Check Point, comment ache “se un'applicazione dannosa sfrutta questa vulnerabilità può ottenere l'esecuzione del codice all'interno delle app più diffuse, ottenendo lo stesso accesso di quella vulnerabile. Ad esempio, la vulnerabilità potrebbe consentire a un aggressore di rubare codici per l’autenticazione a due fattori o di diffondere codice nelle app bancarie per ottenere le credenziali. Oppure, potrebbe inserire il codice nelle app dei social media per spiare le vittime, o diffondere il codice nelle app di messaggistica istantanea per recuperare i messaggi. Le possibilità di attacco in questo caso sono limitate solo dall'immaginazione dell’hacker stesso”. 

Dato che la vulnerabilità CVE-2020-8913 non esiste nelle versioni aggiornate di Play Core, non resta che esortare gli sviluppatori di app ad aggiornare tutte le loro app con la versione più recente di GPC.