Un grave bug su Google Play Store permette agli hacker di sottrarre i dati sensibili degli utenti Android tramite l’accesso alle risorse dell’hosting. Nello specifico, i malintenzionati possono sfruttare questa falla per impossessarsi di credenziali, password personali, informazioni di pagamento e altri dati memorizzati sul dispositivo. Ma come avviene il furto dei dati? Tramite un codice dannoso diffuso tramite tutte le app vulnerabili al bug denominato CVE-2020-8913, che a quanto pare sono davvero tante. Il bug rappresenta quindi una porta d’ingresso allo smartphone che permette agli hacker di accedere alle risorse e a moltissimi dei dati memorizzati al suo interno.
Un bug nel Google Play Store rende vulnerabili milioni di app e mette a rischio gli utenti
Secondo i ricercatori di Check Point Software Technologies sono molte le applicazioni che continuano a essere vulnerabili a questo bug mettendo in pericolo centinaia di milioni di utenti Android. Segnalata la prima volta ad agosto dai ricercatori di Oversecured, la vulnerabilità derivante dal bug permette agli hacker di diffondere un codice dannoso che garantisce l’accesso alle risorse e ai dati degli utenti.
A quanto pare il problema è radicato nella libreria Play Core di Google, che permette di aggiungere aggiornamenti in-app e nuove funzionalità. Questa vulnerabilità rende possibile l’aggiunta di moduli eseguibili, ciò significa che il bug consente l’aggiunta di malware e spyware. Google ha patchato il problema il 6 aprile 2020, con un voto di gravità di 8,8 su 10. Tuttavia, affinché la patch abbia effetto, gli sviluppatori delle varie app devono aggiornarne il codice.
Secondo l’ultimo test effettuato da Check Point, le app risultate ancora vulnerabili al bug erano:
- Viber
- Booking
- Cisco Teams
- Yango Pro
- Moovit
- Grind
- Bumble
- OKCupid
- Edge
- Xrecorder
- PowerDirector
I ricercatori di Check Point hanno notificato le aziende che sviluppano le applicazioni interessate della vulnerabilità riscontrata. Da allora Viber e Booking hanno già ricevuto la patch.
“Stimiamo che centinaia di milioni di utenti Android siano a rischio sicurezza. Sebbene Google abbia implementato una patch, molte applicazioni utilizzano ancora librerie Play Core obsolete. La vulnerabilità CVE-2020-8913 è veramente pericolosa” ha dichiarato Aviran Hazum, Manager of Mobile Research di Check Point.
Google ha risposto alle sollecitazioni di Check Point dicendo che “La relativa vulnerabilità CVE-2020-8913 non esiste nelle versioni aggiornate di Play Core.”
Vi terremo informati su come andrà finire questa storia.
- Memoria Interna: 128GB
- Modello: S20FE
- Colore: Blu