Des applications de Google Play sont vulnérables à une faille

Les chercheurs mettent en garde contre plusieurs applications Google Play populaires, y compris l’application de navigateur mobile Edge. Ces applications n’ont pas encore été mise à jour pour corriger une vulnérabilité de haute gravité dans la bibliothèque principale de Google Play.

La vulnérabilité existe dans la bibliothèque principale de Google Play(ou Google Play Core Library), qui est utilisée par diverses applications populaires telles que Google Chrome, Facebook et Instagram. Il s’agit essentiellement d’une passerelle pour interagir avec les services Google Play à partir de l’application elle-même, permettant aux développeurs d’exécuter divers processus tels que le chargement de code dynamique, la fourniture de ressources spécifiques aux paramètres régionaux et l’interaction avec les mécanismes d’examen de Google Play.

google play

La vulnérabilité (CVE-2020-8913) dans la bibliothèque principale de Google Play est un problème d’exécution de code arbitraire local dans le point de terminaison SplitCompat.install dans la bibliothèque principale de Google Play d’Android (dans les versions antérieures à 1.7.2). La faille a un score de 8,8 sur 10 sur l’échelle CVSS v3, ce qui veut dire qu’elle a une gravité élevée. Elle avait déjà été divulguée fin août. Google a corrigé la faille le 6 avril. Cependant, dans un rapport publié récemment par les chercheurs de Check Point, les chercheurs ont averti que le correctif doit encore être poussé par les développeurs pour plusieurs applications – et qu’il affecte encore potentiellement des centaines de millions d’utilisateurs d’Android.

«Contrairement aux vulnérabilités côté serveur, où la vulnérabilité est complètement corrigée une fois le correctif appliqué au serveur, pour les vulnérabilités côté client, chaque développeur doit récupérer la dernière version de la bibliothèque et l’insérer dans l’application», a déclaré Aviran Hazum et Jonathan Shimonovich, chercheurs en sécurité chez Check Point Research.

En fait, en Septembre, les chercheurs avaient découvert que 13% des applications Google Play utilisaient la bibliothèque principale de Google Play et 8% de ces applications utilisaient une version vulnérable. Celles-ci comprenaient plusieurs applications populaires, telles que l’application sociale Viber, l’application de voyage Booking, l’application professionnelle Cisco Teams, les applications de navigation Yango Pro et Movit, les applications de rencontres Grindr, OKCupid et Bumble, l’application de navigateur mobile Edge et les applications utilitaires Xrecorder et PowerDirector.

Certains ont déployé des patchs, comme Bumble et Grindr qui l’ont fait le 4 décembre. Et, depuis le 2 décembre, Cisco a également corrigé cette vulnérabilité dans la dernière version de Cisco Webex Teams, distribuée sur le Google Play Store, a déclaré un porte-parole de Cisco.

«Avant cette publication, nous avons informé toutes les applications de la vulnérabilité et de la nécessité de mettre à jour la version de la bibliothèque, afin de ne pas être affectées», ont déclaré les chercheurs. “D’autres tests montrent que Viber et Booking ont mis à jour les versions corrigées après notre notification.”

La faille de la bibliothèque principale de Google Play

Afin d’exploiter la faille, un attaquant devrait convaincre une victime d’installer une application malveillante. L’application malveillante exploiterait alors l’une des applications avec une version vulnérable de la bibliothèque principale de Google Play. La bibliothèque gère la charge utile, la charge et exécute l’attaque; la charge utile peut alors accéder à toutes les ressources disponibles dans l’application l’hébergeant.

Cette faille est extrêmement facile à exploiter. Tout ce que vous avez à faire est de créer une application qui dépose un fichier dans le dossier des fichiers vérifiés avec le chemin de traversée des fichiers. Puis asseyez-vous et regardez la magie opérer.

google

Pendant ce temps, l’impact potentiel d’un exploit pourrait être sérieux, selon les chercheurs. Si une application malveillante exploite cette vulnérabilité, elle peut exécuter du code dans des applications populaires et avoir le même accès que l’application vulnérable, ont-ils averti. Cela pourrait créer un certain nombre de situations malveillantes, y compris des attaquants injectant du code dans des applications bancaires pour voler des informations d’identification et voler des codes d’authentification à deux facteurs (2FA), injecter du code dans des applications d’entreprise pour accéder à des ressources d’entreprise sensibles, ou injecter du code dans des applications de messagerie instantanée pour afficher – et même envoyer – des messages au nom de la victime.

Les chercheurs ont déclaré avoir contacté Google avec leurs conclusions. Google a répondu dans un communiqué: “La vulnérabilité pertinente CVE-2020-8913 n’existe pas dans les versions à jour de Play Core.” Les développeurs d’applications sont invités à effectuer une mise à jour vers la version 1.7.2 de la bibliothèque principale Google Play d’Android.

Si cet article vous a plu, jetez un œil à notre précédent article.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires