Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google Play-bug maakt sommige Android-apps kwetsbaar voor diefstal van gegevens

Een fout in het Android-besturingssysteem lijkt ervoor te hebben gezorgd dat verscheidene Android-applicaties kwetsbaar zijn voor het stelen van gegevens door aanvallers. De bug zelf is inmiddels door Google gepatcht, maar niet alle ontwikkelaars hebben hun apps aangepast.

Uit onderzoek van beveiligingsonderzoeker Check Point blijkt dat het gaat om de fout die wordt aangeduid als CVE-2020-8913. Het gaat om een bug die zat in de Google Play Core Library en die eerder al aan het licht kwam. Google heeft het probleem in april al gerepareerd, maar ontwikkelaars moeten zelf de aangepaste code verwerken in hun applicaties om niet langer vatbaar te zijn voor de problemen.

Check Point ontdekte dat een aantal Android-applicaties nog steeds met de kwetsbaarheid kampt. Het gaat daarbij onder andere om de Edge-browser van Microsoft, die miljoenen keren is gedownload. Kort voordat Check Point zijn onderzoek publiceerde waren ook apps zoals Viber, Booking, Grindr en OKCupid nog kwetsbaar. Hoeveel apps momenteel nog de kwetsbaarheid bevatten is niet duidelijk, maar een analyse in september wees op 8 procent van de gescande Android-apps.

De fout in de Google Play Core Library zorgde ervoor dat kwaadwillenden hun eigen code kunnen toevoegen aan applicaties, door zich voor te doen als geverifieerde code die normaal gesproken alleen van de Google-servers afkomstig kan zijn. Door het uitvoeren van de code kunnen bijvoorbeeld vertrouwelijke gegevens uit applicaties worden gestolen. Wanneer ontwikkelaars hun apps updaten en gebruik maken van de verbeterde Google Play Core Library, is het toevoegen van een dergelijke payload niet meer mogelijk.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

05-12-2020 • 11:03

7 Linkedin

Submitter: BikkelZ

Reacties (7)

Wijzig sortering
Moet wel bij gezegd worden dat Play Core een aparte library is, die je als developer al dan niet toevoegd. Het is zeker geen standaard library die elke app heeft. Maar goed, uit t artikel blijkt wel dat sommige high profile apps m wel gebruiken.
Klopt, Play Core is een library die je enkel nodig hebt als je functies wil gebruiken die door de Play Store / Play Services mogelijk worden gemaakt. Dat heb je eigenlijk al relatief snel nodig als je een app hebt die gebruik maakt van je locatie (Google Fused location API) of "Login with your google account", maar er zijn nog wel features die veel gebruikt worden in allerlei apps. EDIT: Peter, je hebt gelijk, ik was even in verwarring. Play Core is enkel een interface voor Play Store related zaken.

Het "gevaarlijke" zit hem hier in het feit dat een update van de Play Services niet genoeg is, dat echt een library update in de app zelf nodig is. Nu is het een goed idee om regelmatig de dependencies van je app eens een update te geven, maar dat wordt vaak niet proactief gedaan. Oude versies van Play libraries werken perfect met nieuwere versies van de Play Store, en veelal is het updaten van dependencies niet nodig tenzij je een van de nieuwe features of bugfixes nodig hebt.

[Reactie gewijzigd door Mavamaarten op 5 december 2020 12:10]

Voor zover ik weet is play core niet gerelateerd aan play services. Het is een kleine library met bijv. missing split detection en in app Play Store review mogelijkheid.

[Reactie gewijzigd door - peter - op 5 december 2020 11:44]

Het blijft altijd verleidelijk om wel je ontwikkelaars te dwingen om in de sandbox te werken maar dan zelf altijd een goede reden te hebben om dat niet te hoeven doen. Bij Apple zie je het zelfde gebeuren rondom bijvoorbeeld iMessage exploits.

[Reactie gewijzigd door BikkelZ op 5 december 2020 14:25]

Het is toch frapant dat Edge met naam en toenaam genoemd wordt.
Google is selectief naar zichzelf, elke exploid buiten de houdbaarheid datum schieten ze Microsoft af en nu hoor je er schoorvoetend over. Zou Google sieren als alle apps die geïnfecteerd zijn gemeld worden en de gebruiker kan kiezen of ze ze verwijderen. Tijdspan erop en uit de store kiepen.
Volgens mij is het Checkpoint die MS Edge specifiek noemt, niet Google.
En de oorspronkeljke fout zit in de Google code en dat wordt gewoon met naam en toenaam genoemd , dus volgens mij kan je hier Google niet beschuldiging dat ze andermans kwetsbaarheden wel noemen en eigen fouten niet. Hoewel er voorheen best wel voorbeelden te noemen zijn waar het minimaal lijkt dat Google met 2 maten meet is dat -voor zover ik kan zien- niet het geval.
Als ik data/info mis vul dam gaarne aan met een link naar google statements waar ze edge noemen en hun eigen tekortkoming verhullen mbt CVE-2020-8913
Waarom moet deze library meegecompileerd worden? Wordt deze niet meegeleverd met Google Play Services?

Ook een verkwisting van geheugen, iedere app dezelfde library die niet wordt gedeeld.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True