Home Sociedad Las aplicaciones de Google Play siguen siendo vulnerables a las fallas de...

Las aplicaciones de Google Play siguen siendo vulnerables a las fallas de alta gravedad

Investigadores advierten que varias aplicaciones populares de Google Play -incluida la aplicación Edge para navegadores móviles- aún no han sido objeto de una importante actualización que aborde una vulnerabilidad de alta gravedad en la biblioteca central de Google Play.

La vulnerabilidad existe en la Biblioteca principal de Google Play, que es utilizada por varias aplicaciones populares como Google Chrome, Facebook e Instagram. Se trata esencialmente de una puerta de enlace para interactuar con los servicios de Google Play desde la propia aplicación, lo que permite a los desarrolladores llevar a cabo varios procesos como la carga dinámica de código, la entrega de recursos específicos de la localidad y la interacción con los mecanismos de revisión de Google Play.

La vulnerabilidad (CVE-2020-8913) en la biblioteca central de Google Play es un problema de ejecución de código local y arbitrario en el endpoint SplitCompat.install de la biblioteca central de Play de Android (en versiones anteriores a la 1.7.2). El fallo, que ocupa un puesto 8,8 de 10 en la escala CVSS v3, lo que le confiere una gran gravedad, fue revelado previamente a finales de agosto. Google parcheó la falla el 6 de abril. Sin embargo, en un informe publicado el jueves por Check Point, los investigadores advirtieron que el parche todavía tiene que ser eliminado por los desarrolladores de varias aplicaciones – y potencialmente todavía afecta a cientos de millones de usuarios de Android.

Hasta septiembre, los investigadores habían descubierto que el 13 por ciento de las aplicaciones de Google Play utilizaban la biblioteca principal de Google Play, y el 8 por ciento de esas aplicaciones tenían una versión vulnerable. Entre ellas se incluyen varias aplicaciones populares, como la aplicación social Viber, la aplicación de viajes Booking, la aplicación de negocios Cisco Teams, las aplicaciones de navegación Yango Pro y Movit, las aplicaciones de citas Grindr, OKCupid y Bumble, la aplicación de navegador móvil Edge y las aplicaciones de utilidades Xrecorder y PowerDirector.

Algunos tienen parches enrollados, incluyendo, a partir del 4 de diciembre, Bumble. Y, a partir del 2 de diciembre, Cisco también ha abordado esta vulnerabilidad en la última versión de los equipos Webex de Cisco, publicada en la tienda Google Play Store, dijo un portavoz de Cisco a Threatpost.

Para explotar el fallo, un atacante tendría que convencer a la víctima de que instale una aplicación maliciosa. La aplicación maliciosa explotaría entonces una de las aplicaciones con una versión vulnerable de la biblioteca central de Google Play. La biblioteca maneja la carga útil, la carga y ejecuta el ataque; la carga útil puede entonces acceder a todos los recursos disponibles en la aplicación de alojamiento.

Esta falla “es extremadamente fácil de explotar”, dijeron los investigadores. “Todo lo que necesitas hacer es crear una aplicación ‘hola mundo’ que llame a la intención exportada en la aplicación vulnerable para empujar un archivo a la carpeta de archivos verificados con la ruta de viaje del archivo. Entonces siéntate y mira como sucede la magia”.

Mientras tanto, el impacto potencial de una explotación podría ser grave, según los investigadores. Si una aplicación maliciosa explota esta vulnerabilidad, puede ejecutar código dentro de aplicaciones populares y tener el mismo acceso que la aplicación vulnerable, advirtieron. Esto podría crear una serie de situaciones maliciosas, entre ellas que los atacantes inyecten código en las aplicaciones bancarias para robar credenciales y robar códigos de autenticación de dos factores (2FA), que inyecten código en las aplicaciones empresariales para acceder a recursos corporativos sensibles o que inyecten código en las aplicaciones de mensajería instantánea para ver -e incluso enviar- mensajes en nombre de la víctima.

Los investigadores dijeron que se pusieron en contacto con Google con sus conclusiones. Google respondió en un comunicado: “La vulnerabilidad relevante CVE-2020-8913 no existe en las versiones actualizadas de Play Core”. Se insta a los desarrolladores de aplicaciones a que se actualicen a la versión 1.7.2 de Play Core Library de Android.