Centinaia di milioni di utenti Android a rischio spionaggio

A causa di un bug presente sul Google Play Store, centinaia di milioni di utenti Android rischiano grosso. Check Point lancia un nuovo allarme di sicurezza su un problema in realtà noto da tempo, che alla luce di recenti monitoraggi risulta essere ancora in circolazione e, anzi, molto diffuso. La vulnerabilità, identificata come CVE-2020-8913 e segnalata per la prima volta alla fine di agosto dai ricercatori di Oversecured, consente a un aggressore di diffondere un codice dannoso in applicazioni vulnerabili, per garantirsi l'accesso a tutte le risorse e tutti i dati dell’hosting (cioè dello smartphone o tablet su cui l’app è stata installata). Dunque la vittima può subire danni di vario tipo, dalle violazioni di privacy al furto di password, di dati sensibili e di numeri carte di pagamento sottratti da altre applicazioni installate.

Il difetto è radicato nella libreria Play Core di Google, utilizzata dagli sviluppatori di applicazioni per aggiungere aggiornamenti in-app e nuovi moduli di funzionalità nelle loro app Android. La vulnerabilità rende possibile l'aggiunta di moduli eseguibili in qualsiasi app che utilizzi la libreria, il che significa che il codice arbitrario può essere eseguito al suo interno. Un aggressore potrebbere, con una malware app installata sul dispositivo della vittima, rubare all’utente tutte le sue informazioni private. 

La catena di attacco prevede dunque quattro fasi: l’utente installa un’app vulnerabile; l'app sfrutta a sua volta un'applicazione con una versione vulnerabile della libreria Google Play Core; la libreria gestisce il payload, lo carica ed esegue l'attacco; il payload può accedere a tutte le risorse disponibili sul dispositivo. Google ha riconosciuto il bug, attribuendovi un punteggio di gravità di 8,8 su 10, e lo ha corretto con una patch. 

Il problema è che le app Android esistenti e contenenti la libreria Play Core devono anch’esse installare la patch per poter eliminare la minaccia. Ma molti sviluppatori non se ne sono preoccupati. Così ha scoperto Check Point dopo aver analizzato lo scorso settembre un campione casuale di applicazioni popolari su Google Play. Tra quelle scandagliate, il 13% delle app utilizzava la libreria Google Play Core, e l'8% continuava a impiegare la sua versione vulnerabile, non corretta da patch.  

Tra i software in questione spiccavano app molto diffuse e appartenenti ai più disparati ambiti:  come Viber, Booking, Cisco Teams, Yango Pro, Moovit, e ancora il browser di Microsoft, Edge, le utilities Xrecorder e PowerDirector e le applicazioni di dating Grindr, OKCupid e Bumble. Recentemente Check Point ha potuto verificare che Viber e Booking hanno ricevuto la patch in questione, ma il rischio di attacchi basati su questa vulnerabilità rimane esteso su centinaia di milioni di utenti.

“Stimiamo che centinaia di milioni di utenti Android siano a rischio sicurezza”, ha dichiarato Aviran Hazum, manager of mobile research di Check Point. “Sebbene Google abbia implementato una patch, molte applicazioni utilizzano ancora librerie Play Core obsolete. La vulnerabilità CVE-2020-8913 è veramente pericolosa. Se un'applicazione dannosa sfrutta questa vulnerabilità, può ottenere l'esecuzione del codice all'interno delle app più diffuse, ottenendo lo stesso accesso di quella vulnerabile. Ad esempio, la vulnerabilità potrebbe consentire a un aggressore di rubare codici per l’autenticazione a due fattori o di diffondere codice nelle app bancarie per ottenere le credenziali. Oppure, potrebbe inserire il codice nelle app dei social media per spiare le vittime, o diffondere il codice nelle app di messaggistica istantanea per recuperare i messaggi. Le possibilità di attacco in questo caso sono limitate solo dall'immaginazione dell’hacker stesso”.