decembre 2020 par Check Point
D’innombrables applications Android toujours vulnerables a votre bug majeur, mettant en danger des centaines de millions d’utilisateurs. De nombreuses applications sur le Play Store de Google seront encore vulnerables a votre bug connu, CVE-2020-8913, qui permet aux acteurs d’une menace d’injecter du code malveillant dans des applications vulnerables, afin d’acceder a l’integralite des memes ressources de l’application d’hebergement. Mes acteurs de la menace ont la possibilite de utiliser les applications vulnerables pour usurper des informations sensibles d’autres applications sur le aussi appareil, en volant les informations privees des utilisateurs, telles que des details de connexion, les mots de passe, les details financiers et le courrier.
• J’ai faille de securite trouve son origine dans la bibliotheque Play Core de Google, tres utilisee, qui permet a toutes les developpeurs d’integrer des mises a jour et de nouveaux modules de fonctionnalites a leurs applications Android • Google a corrige la faille en avril 2020, mais les developpeurs eux-memes doivent installer la nouvelle bibliotheque Play Core afin de faire disparaitre completement la menace • Les chercheurs de Check Point ont selectionne au hasard un certain nombre d’applications de premier plan pour confirmer l’existence d’la vulnerabilite CVE-2020-8913. Vulnerabilite confirmee dans Grindr, Bumble, OKCupid, Cisco Teams, Moovit, Yango Pro, Edge, Xrecorder, PowerDirector • Des chercheurs de Check Point demontrent l’exploitation une vulnerabilite de l’application Google Chrome d’Android
Vue d’ensemble : Une nouvelle vulnerabilite dans la bibliotheque Google Play Core a ete publiee fin aout, qui permet l’execution locale de code (Local-Code-Execution, LCE) au contexte de toute application qui utilise la version vulnerable de la bibliotheque Google Play Core.
EN