▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Sicurezza Android minacciata da un bug facile da chiudere

Una vulnerabilità della libreria Play Core di Google mette a rischio decine di app Android. La patch c'è, ma non tutti gli sviluppatori l'hanno applicata alle proprie app.

La cyber security di centinaia di milioni di utenti Android è a rischio, di nuovo. Questa volta non si può puntare il dito contro una sola app. Il problema è un bug di Google Play Store. Il fatto che questo renda poco sicura una serie di app è solo una complicazione. Come se non bastasse, la lista delle app vulnerabili include nomi di un certo peso: il social Viber, la popolare app Booking, Cisco Teams, Moovit, Grindr, OKCupid, Bumble, il browser Edge e le utilities Xrecorder e PowerDirector.

Il campionario è variegato ed è tutto riconducibile alla vulnerabilità CVE-2020-8913, che ha un indice di gravità di 8.8 su 10. Si tratta di una falla nota, che permette ai cyber criminali di diffondere un codice dannoso per ottenere l'accesso a tutte le risorse dell'hosting. Un attaccante può sfruttare le app vulnerabili per sottrarre dati sensibili (credenziali, password e dati di pagamento) da altre applicazioni installate sullo stesso dispositivo.

Il ruolo degli sviluppatori


A rimettere l'accento sul problema sono stati i ricercatori di Check Point Software Technologies. A seguito della prima segnalazione ad opera dei ricercatori di Oversecured, la questione non è ancora chiusa. Non per colpa di Google. L'azienda di Mountainn View ha reso disponibile la patch il 6 aprile 2020

Il problema è che per depennare la minaccia è necessario che gli sviluppatori inseriscano tale patch in ciascuna delle app a rischio, fra cui quelle elencate sopra. Questo non è stato fatto, come ha dimostrato il lavoro di Check Point Software Technologies, che ha passato in rassegna alcune app a titolo di controllo e ne ha trovate molte sguarnite dell'importante correttivo. 

In particolare, a settembre 2020 risultava che il 13% delle app Google Play utilizzava la libreria Google Play Core. Di queste l'8% aveva una versione vulnerabile di tale componente. Anche se il problema originario affliggeva Google, il fatto che lacune app siano a rischio a questo punto è unicamente responsabilità dei rispettivi sviluppatori.

Che cosa può accadere in assenza della patch


I cyber criminali possono diffondere un codice dannoso nelle applicazioni vulnerabili, garantendosi l'accesso a tutte le risorse e a tutti i dati dell’hosting, quindi in ultima analisi del dispositivo che ospita queste app. Il motivo di questo effetto domino è che la falla risiede nella libreria Play Core di Google. È la stessa che permette agli sviluppatori di aggiungere aggiornamenti in-app e nuovi moduli di funzionalità. 

Sfruttando la vulnerabilità, si possono infatti aggiungere moduli eseguibili a qualsiasi app che utilizzi la libreria. In altre parole, si può eseguire codice arbitrario al suo interno. Un aggressore, con una malware app installata sul dispositivo della vittima, potrebbe rubare tutte le sue informazioni private.
app mobilePer portare a termine l'attacco bastano quattro mosse: installazione dell’app vulnerabile e dannosa, l'app sfrutta un'applicazione con una versione vulnerabile di Google Play Core (GPC). GPC gestisce il payload, lo carica ed esegue l'attacco, il payload può accedere a tutte le risorse disponibili.

Aviran Hazum, Manager of Mobile Research di Check Point, comment ache “se un'applicazione dannosa sfrutta questa vulnerabilità può ottenere l'esecuzione del codice all'interno delle app più diffuse, ottenendo lo stesso accesso di quella vulnerabile. Ad esempio, la vulnerabilità potrebbe consentire a un aggressore di rubare codici per l’autenticazione a due fattori o di diffondere codice nelle app bancarie per ottenere le credenziali. Oppure, potrebbe inserire il codice nelle app dei social media per spiare le vittime, o diffondere il codice nelle app di messaggistica istantanea per recuperare i messaggi. Le possibilità di attacco in questo caso sono limitate solo dall'immaginazione dell’hacker stesso”. 

Dato che la vulnerabilità CVE-2020-8913 non esiste nelle versioni aggiornate di Play Core, non resta che esortare gli sviluppatori di app ad aggiornare tutte le loro app con la versione più recente di GPC.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security
Lug 10
Business Meeting Lexmark Marche | XC9525, la nuova generazione della stampa A3
Lug 10
scrivi qui il titolo...
Lug 10
Parallels RAS: accesso remoto sicuro, semplice, e scalabile per la tua azienda
Lug 10
Boost Your Backup Strategy con Object First: demo live e casi di successo

Ultime notizie Tutto

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1