Ad aprile 2020, quindi diversi mesi fa, Google ha risolto un bug del Play Store, che permetteva ai malintenzionati di riuscire ad arrecare danno agli utenti Android, passando per applicazioni parecchio popolari. Si tratta della vulnerabilità “CVE-2020-8913” relativa alle librerie Play Core. Un problema tecnicamente risolto, ma che ancora affligge su parecchie applicazioni scaricate da milioni di utenti, che sono quindi a rischio: lo hanno scoperto i ricercatori di Check Point.
Google Play Store: vulnerabilità risolta, ma ancora pericolosa
Google mette a disposizione degli sviluppatori tutte le risorse necessarie per risolvere eventuali falle di sicurezza, qualora queste dipendessero da Big G. Ovviamente però non ha il potere di intervenire direttamente sull’aggiornamento delle diverse applicazioni e quindi non può implementare eventuali patch di sicurezza.
Proprio questo è il riassunto del problema relativo alla vulnerabilità “CVE-2020-8913”. Google l’ha risolta – rilasciando una nuova versione di Google Play Core – ma alcuni sviluppatori non l’hanno implementata all’interno dell’applicazione. L’elenco dei software ancora vulnerabili (o comunque vulnerabili quando i ricercatori di Checkpoint hanno notificato agli sviluppatori la falla di sicurezza) comprende nomi di un certo calibro:
- Social – Viber (vulnerabilità risolta)
- Travel – Booking (vulnerabilità risolta)
- Business – Cisco Teams
- Maps and Navigation – Yango Pro (Taximeter), Moovit
- Dating – Grindr, OKCupid, Bumble
- Browsers – Edge
- Utilities – Xrecorder, PowerDirector
Quello che potenzialmente potrebbe accadere, utilizzando applicazioni con vecchie versioni delle librerie Google Play Core, è ben spiegato nel video seguente.
In merito alla questione, Aviran Hazum, Manager of Mobile Research di Check Point, ha dichiarato:
“Stimiamo che centinaia di milioni di utenti Android siano a rischio sicurezza. Sebbene Google abbia implementato una patch, molte applicazioni utilizzano ancora librerie Play Core obsolete. La vulnerabilità CVE-2020-8913 è veramente pericolosa. Se un’applicazione dannosa sfrutta questa vulnerabilità, può ottenere l’esecuzione del codice all’interno delle app più diffuse, ottenendo lo stesso accesso di quella vulnerabile. Ad esempio, la vulnerabilità potrebbe consentire a un aggressore di rubare codici per l’autenticazione a due fattori o di diffondere codice nelle app bancarie per ottenere le credenziali. Oppure, potrebbe inserire il codice nelle app dei social media per spiare le vittime, o diffondere il codice nelle app di messaggistica istantanea per recuperare i messaggi. Le possibilità di attacco in questo caso sono limitate solo dall’immaginazione dell’hacker stesso”.
I ricercatori hanno anche contattato Google in merito al problema, che ha fatto sapere:
“La relativa vulnerabilità CVE-2020-8913 non esiste nelle versioni aggiornate di Play Core.”