Een fout in het Android-besturingssysteem lijkt ervoor te hebben gezorgd dat verscheidene Android-applicaties kwetsbaar zijn voor het stelen van gegevens door aanvallers. De bug zelf is inmiddels door Google gepatcht, maar niet alle ontwikkelaars hebben hun apps aangepast.
Uit onderzoek van beveiligingsonderzoeker Check Point blijkt dat het gaat om de fout die wordt aangeduid als CVE-2020-8913. Het gaat om een bug die zat in de Google Play Core Library en die eerder al aan het licht kwam. Google heeft het probleem in april al gerepareerd, maar ontwikkelaars moeten zelf de aangepaste code verwerken in hun applicaties om niet langer vatbaar te zijn voor de problemen.
Check Point ontdekte dat een aantal Android-applicaties nog steeds met de kwetsbaarheid kampt. Het gaat daarbij onder andere om de Edge-browser van Microsoft, die miljoenen keren is gedownload. Kort voordat Check Point zijn onderzoek publiceerde waren ook apps zoals Viber, Booking, Grindr en OKCupid nog kwetsbaar. Hoeveel apps momenteel nog de kwetsbaarheid bevatten is niet duidelijk, maar een analyse in september wees op 8 procent van de gescande Android-apps.
De fout in de Google Play Core Library zorgde ervoor dat kwaadwillenden hun eigen code kunnen toevoegen aan applicaties, door zich voor te doen als geverifieerde code die normaal gesproken alleen van de Google-servers afkomstig kan zijn. Door het uitvoeren van de code kunnen bijvoorbeeld vertrouwelijke gegevens uit applicaties worden gestolen. Wanneer ontwikkelaars hun apps updaten en gebruik maken van de verbeterde Google Play Core Library, is het toevoegen van een dergelijke payload niet meer mogelijk.