Lo scorso Agosto, la security house Oversecured scoprì una pericolosa vulnerabilità in una libreria delle applicazioni per Android che, a quanto pare, pur sanata da Google, non sarebbe stata ancora implementata da tutte le app che se ne avvalevano, con la conseguenza che, tramite queste app, dei malintenzionati potrebbero rubare informazioni sensibili, le credenziali di accesso, la lista dei contatti, e leggere financo i messaggi privati.
La vulnerabilità scoperta ad Agosto da Oversecured, invero sanata da Google diversi mesi prima (addirittura ai primi di Aprile), riguarda la libreria Google Core Play che le applicazioni usano per dialogare col Play Store, ad esempio chiedendo agli utenti di elargire una valutazione all’app o, cosa più importante, scaricando in-app moduli aggiuntivi (tra cui i pacchetti delle lingue) che permettono all’app di adattarsi al dispositivo sul quale opera.
A causa della vulnerabilità, nota come CVE-2020-8913, un malware avrebbe potuto scaricare, da fonti inaffidabili, dei moduli supplementari, per eseguire del codice non autorizzato (payload) in aree protette delle app, solitamente riservate ai download sicuri dal Play Store, con la conseguenza appunto del poter accedere alle risorse locali del device compromesso.
Purtroppo, da un’attenta analisi condotta lo scorso Settembre da CheckPoint tramite il tool SandBlast Mobile è emerso come l’8% delle applicazioni che usavano la Google Core Play Library (il 13% del totale) non abbia mai adottato la versione corretta della stessa, continuando ad adoperare quella buggata. Nello specifico, sebbene alcune app (Booking e Viber) abbiano almeno corretto il problema dopo essere state avvertite in privato dalla security house, ed altre (Moovit, Cisco Teams, Grindr) abbiano fatto lo stesso dopo la pubblicazione del post pubblico di allerta, altre app, adoperate da centinaia di milioni di utenti, tra cui OKCupid, Power Director, Aloha Browser, Xrecorder, Microsoft Edge, hanno continuato ad ignorare l’alert in questione.
In attesa che anche queste ed altre app risolvano la vulnerabilità che, mediante una libreria fallata consente l’accesso alle risorse locali del proprio smartphone, gli esperti consigliano l’adozione di una soluzione di sicurezza mobile, che protegga dal “download di applicazioni dannose e applicazioni con malware incorporato“.