Google Play-bug maakt sommige Android-apps kwetsbaar voor diefstal van gegevens

Een fout in het Android-besturingssysteem lijkt ervoor te hebben gezorgd dat verscheidene Android-applicaties kwetsbaar zijn voor het stelen van gegevens door aanvallers. De bug zelf is inmiddels door Google gepatcht, maar niet alle ontwikkelaars hebben hun apps aangepast.

Uit onderzoek van beveiligingsonderzoeker Check Point blijkt dat het gaat om de fout die wordt aangeduid als CVE-2020-8913. Het gaat om een bug die zat in de Google Play Core Library en die eerder al aan het licht kwam. Google heeft het probleem in april al gerepareerd, maar ontwikkelaars moeten zelf de aangepaste code verwerken in hun applicaties om niet langer vatbaar te zijn voor de problemen.

Check Point ontdekte dat een aantal Android-applicaties nog steeds met de kwetsbaarheid kampt. Het gaat daarbij onder andere om de Edge-browser van Microsoft, die miljoenen keren is gedownload. Kort voordat Check Point zijn onderzoek publiceerde waren ook apps zoals Viber, Booking, Grindr en OKCupid nog kwetsbaar. Hoeveel apps momenteel nog de kwetsbaarheid bevatten is niet duidelijk, maar een analyse in september wees op 8 procent van de gescande Android-apps.

De fout in de Google Play Core Library zorgde ervoor dat kwaadwillenden hun eigen code kunnen toevoegen aan applicaties, door zich voor te doen als geverifieerde code die normaal gesproken alleen van de Google-servers afkomstig kan zijn. Door het uitvoeren van de code kunnen bijvoorbeeld vertrouwelijke gegevens uit applicaties worden gestolen. Wanneer ontwikkelaars hun apps updaten en gebruik maken van de verbeterde Google Play Core Library, is het toevoegen van een dergelijke payload niet meer mogelijk.

Door RoD

Admin Mobile

05-12-2020 • 11:03

7 Linkedin

Submitter: BikkelZ

Reacties (7)

Wijzig sortering
Moet wel bij gezegd worden dat Play Core een aparte library is, die je als developer al dan niet toevoegd. Het is zeker geen standaard library die elke app heeft. Maar goed, uit t artikel blijkt wel dat sommige high profile apps m wel gebruiken.
Klopt, Play Core is een library die je enkel nodig hebt als je functies wil gebruiken die door de Play Store / Play Services mogelijk worden gemaakt. Dat heb je eigenlijk al relatief snel nodig als je een app hebt die gebruik maakt van je locatie (Google Fused location API) of "Login with your google account", maar er zijn nog wel features die veel gebruikt worden in allerlei apps. EDIT: Peter, je hebt gelijk, ik was even in verwarring. Play Core is enkel een interface voor Play Store related zaken.

Het "gevaarlijke" zit hem hier in het feit dat een update van de Play Services niet genoeg is, dat echt een library update in de app zelf nodig is. Nu is het een goed idee om regelmatig de dependencies van je app eens een update te geven, maar dat wordt vaak niet proactief gedaan. Oude versies van Play libraries werken perfect met nieuwere versies van de Play Store, en veelal is het updaten van dependencies niet nodig tenzij je een van de nieuwe features of bugfixes nodig hebt.

[Reactie gewijzigd door Mavamaarten op 5 december 2020 12:10]

Voor zover ik weet is play core niet gerelateerd aan play services. Het is een kleine library met bijv. missing split detection en in app Play Store review mogelijkheid.

[Reactie gewijzigd door - peter - op 5 december 2020 11:44]

Het blijft altijd verleidelijk om wel je ontwikkelaars te dwingen om in de sandbox te werken maar dan zelf altijd een goede reden te hebben om dat niet te hoeven doen. Bij Apple zie je het zelfde gebeuren rondom bijvoorbeeld iMessage exploits.

[Reactie gewijzigd door BikkelZ op 5 december 2020 14:25]

Het is toch frapant dat Edge met naam en toenaam genoemd wordt.
Google is selectief naar zichzelf, elke exploid buiten de houdbaarheid datum schieten ze Microsoft af en nu hoor je er schoorvoetend over. Zou Google sieren als alle apps die geïnfecteerd zijn gemeld worden en de gebruiker kan kiezen of ze ze verwijderen. Tijdspan erop en uit de store kiepen.
Volgens mij is het Checkpoint die MS Edge specifiek noemt, niet Google.
En de oorspronkeljke fout zit in de Google code en dat wordt gewoon met naam en toenaam genoemd , dus volgens mij kan je hier Google niet beschuldiging dat ze andermans kwetsbaarheden wel noemen en eigen fouten niet. Hoewel er voorheen best wel voorbeelden te noemen zijn waar het minimaal lijkt dat Google met 2 maten meet is dat -voor zover ik kan zien- niet het geval.
Als ik data/info mis vul dam gaarne aan met een link naar google statements waar ze edge noemen en hun eigen tekortkoming verhullen mbt CVE-2020-8913
Waarom moet deze library meegecompileerd worden? Wordt deze niet meegeleverd met Google Play Services?

Ook een verkwisting van geheugen, iedere app dezelfde library die niet wordt gedeeld.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee