Un conjunto de aplicaciones populares en la Play Store de Google continúan siendo vulnerables a un conocido fallo de seguridad que dispone de parche desde abril, por lo que los datos de cientos de millones de usuarios de Android están expuestos.
La vulnerabilidad (CVE-2020-8913) permite que un ciberdelincuente inyecte software malicioso en las aplicaciones afectadas, obteniendo así acceso a toda la información que esta ‘app’ almacena. Este error tiene su origen en la biblioteca Play Core de Google, con la que los desarrolladores pueden introducir actualizaciones y nuevos módulos de características en las aplicaciones de Android.
Así, como explican desde Check Point Software Technologies, la vulnerabilidad permite añadir módulos ejecutables a cualquier aplicación que use la biblioteca, lo que significa que se podría inyectar cualquier código dentro de ellas.
El ciberdelincuente que haya instalado una aplicación de ‘malware’ en el dispositivo de la víctima podría llegar a robar la información privada como los datos de inicio de sesión, las contraseñas, información financiera e incluso tener acceso al correo, indican en un comunicado.
LOS DESARROLLADORES DEBEN ACTUALIZAR LO ANTES POSIBLE
Google reconoció y parcheó el error el 6 de abril de 2020, que llegó a calificar con un 8,8 sobre 10 acorde al nivel de gravedad, como apuntan desde la compañía. Sin embargo, para que la amenaza desaparezca por completo, los desarrolladores tienen que incorporar el parche en sus respectivas aplicaciones.
Los investigadores de Check Point decidieron seleccionar al azar una serie de aplicaciones para ver qué desarrolladores implementaron realmente el parche proporcionado por Google. Durante el mes de septiembre, el 13 por ciento de las aplicaciones de Google Play analizadas por los investigadores de la compañía utilizaban la biblioteca de Google Play Core, de las cuáles un 8 por ciento todavía tenían una versión vulnerable.
Se trata de las aplicaciones Viber, Booking, Cisco Teams, Yango Pro (Taximeter), Moovit, Grindr, OKCupid, Bumble, Edge, Xrecorder y PowerDirector. La compañía asegura que antes de esta publicación, han notificado a todas las aplicaciones sobre la vulnerabilidad y la necesidad de actualizar la versión de la biblioteca, para que no se vean afectadas. Y matizan que pruebas adicionales mostraron que Viber y Booking han sido actualizadas a las versiones parcheadas después de la notificación. Actualmente, a fecha de 4 de diciembre, ya empresas como Moovit, Booking, Viber, XRecorder y otras han implementado un parche para solventar esta vulnerabilidad.
«Calculamos que cientos de millones de usuarios de Android están expuestos a este fallo de seguridad, ya que aunque Google implementó un parche, muchas aplicaciones siguen usando bibliotecas Play Core obsoletas», señala el director de investigación de amenazas móviles en Check Point, Aviran Hazum.
Los riesgos a los que se exponen los usuarios con esta vulnerabilidad son diversos, como explica el directivo, «por ejemplo, podría permitir robar códigos de autenticación de dos factores o inyectar código en aplicaciones bancarias para obtener las credenciales de un usuario. Otro de los escenarios sería que un ciberdelincuente pudiera inyectar código en aplicaciones de redes sociales para espiar a las víctimas o interceptar las comunicaciones realizadas a través de las aplicaciones de mensajería instantánea».