Investigadores da Check Point denunciam inúmeras aplicações presentes na Google Play Store que ainda se encontram sujeitas à potencial exploração maliciosa de uma vulnerabilidade conhecida, reportada pela primeira vez em agosto por investigadores da Oversecured. A CVE-2020-8913 permite a execução de códigos que conferem aos atacantes o acesso a todos os recursos acedidos pela aplicação, possibilitando ainda o roubo de dados confidenciais de outras aplicações do mesmo dispositivo, como detalhes de início de sessão, palavras-passe e detalhes financeiros.
A falha de segurança tem a sua origem na Google Play Store Library, a interface da plataforma oficial que permite aos programadores lançar atualizações e novos módulos para as aplicações. A exploração da vulnerabilidade confere aos atacantes a possibilidade de beneficiar igualmente destas funcionalidades, podendo, assim, executar módulos à sua escolha em quaisquer das apps que estejam incluídas na biblioteca.
Os programadores têm de agir, agora
A 6 de abril de 2020, a Google reconheceu a falha e lançou a devida patch, classificando a severidade da vulnerabilidade com 8.8 em 10. Contudo, para que a ameaça seja eliminada, é necessário que também os programadores atualizem as suas aplicações com a patch. Caso contrário, a segurança de milhões de utilizadores manter-se-á em risco. Os investigadores da Check Point selecionaram um número de aplicações amplamente conhecidas para analisar de forma a descobrir quais implementaram efetivamente a patch fornecida pela Google.
Durante o mês de setembro, 13% das aplicações analisadas pelos investigadores da Check Point utilizavam a Google Play Core library, sendo que, destes, 8% continuavam a dispor da versão vulnerável. Estas são as aplicações que, de momento, ainda contam com falhas de segurança:
- Redes sociais: Viber
- Viagens: Booking
- Business: Cisco Teams
- Mapas e navegação: Yango Pro (Taximeter), Moovit
- Dating: Grindr, OKCupid, Bumble
- Browsers: Edge
- Utilitários: Xrecorder, PowerDirector
De referir que antes de a CheckPoint divulgar esta informação, os responsáveis foram notificados sobre o problemas e alguns já o resolveram, como é o caso do Viber, Moovit e do Booking.
Como se processa o ataque?
Os investigadores da Check Point demonstram, em 4 passos, como é explorada a vulnerabilidade:
- Utilizador instala aplicação maliciosa.
- A aplicação maliciosa tira proveito de uma outra aplicação que conte com a versão vulnerável e desatualizada da Google Play Core (GPC) library.
- A GPC carrega e executa o ataque.
- O atacante pode agora aceder a todos os recursos disponíveis à aplicação anfitriã.
Demonstração do ataque na app Google Chrome
Para demonstrar o ataque a uma aplicação em específico, os investigadores da Check Point utilizaram uma versão desatualizada da aplicação Google Chrome e simularam um ataque. A simulação, disponível vídeo, demonstra como pode alguém apropriar-se das cookies de um utilizador, como forma de aceder a contas de terceiros websites ou apps, como a DropBox. Assim que o ataque for ativado, os agentes maliciosos terão o mesmo acesso que o Google Chrome a variadíssimas informações, como cookies, histórico, marcadores e gestores de palavras-passe.
“Estima-se que centenas de milhões de utilizadores Android têm a sua segurança em risco. Ainda que a Google tenha implementado uma patch, muitas aplicações ainda estão a utilizar bibliotecas Play Core desatualizadas. A vulnerabilidade CVE-2020-8913 é altamente perigosa,” afirma Aviran Hazum, Manager of Mobile Research da Check Point Software. “Pode, por exemplo, permitir que um atacante roube códigos de autenticação dupla ou injete códigos em aplicações bancárias, de forma a obter credenciais. Ou, executar códigos em aplicações de redes sociais que permitam espiar vítimas ou aceder às suas mensagens. As possibilidades de ataque estão limitadas apenas pela imaginação do atacante” termina Hazum.
Como pode proteger-se?
A severidade da ameaça reforça a importância de contar com soluções de segurança especializadas em ameaças ao mobile e dispositivos móveis. A SandBlast Mobile da Check Point é a solução líder de mercado em Mobile Threat Defense (MTD), garantindo uma ampla gama de potencialidades que asseguram as aplicações móveis. A SandBlast Mobile protege contra todos os vetores de ataque, incluindo o download de aplicações maliciosas e aplicações que contenham malware.
