В Google Play не заросла народная дыра

Исследователи компании Check Point Software Technologies подтвердили, что популярные приложения в Google Play Store по-прежнему подвержены уязвимости CVE-2020-8913, а значит, сотни миллионов пользователей Android подвергаются значительному риску. Впервые об этой бреши сообщили в конце августа 2020 г. исследователи Oversecured. Используя ее, злоумышленник имеет возможность внедрить вредоносный код в уязвимые приложения, предоставляя доступ к ресурсам хост-приложения. В итоге хакер может получить доступ к конфиденциальным данным из других приложений на устройстве.

По словам специалистов, проблема заключается в широко используемой библиотеке Play Core, которая позволяет разработчикам загружать обновления и добавлять функциональные модули в приложения для Android. Уязвимость дает возможность добавлять исполняемые модули в любые приложения, которые используют библиотеку. Если злоумышленник получает доступ к одному вредоносному приложению на устройстве жертвы, то дальше он может украсть ее личную информацию - логины, пароли, финансовые данные, письма в почте.

Как сообщают исследователи Check Point Software Technologies, в течение сентября 2020 г. 13% приложений Google Play из всех проанализированных специалистами Check Point, использовали библиотеку Play Core. При этом у 8% из них были уязвимые версии.

Ранее представители антивирусной компании Bitdefender поделились анализом 20 приложений для Android-устройств из магазина Google Play на всеобщую защищенность. В исследование попали программы, которые пользователи скачали около 700 тыс. раз. При этом разработчики антивируса предоставили ряд возможностей, которыми успешно пользуются злоумышленники. Вместе с приложением скачивается собственная исполнительная библиотека, которая дает команду на загрузку вредоносного кода после установки приложения. Это происходит в обход внутрисистемного шифрования и загрузчика основной логики.

Об уязвимости Google Play заявляла также "Лаборатория Касперского". Вредоносы были обнаружены в CamScanner, а также в приложении, замаскированном как плеер для прослушивания музыки из "ВКонтакте".

Менеджер по мобильным исследованиям Check Point Software Technologies Авиран Хазум говорит, что в опасности находятся сотни миллионов пользователей Android. "Хотя Google внедрила патч, многие приложения по-прежнему используют устаревшие библиотеки Play Core. Уязвимость CVE-2020-8913 очень опасна. Если вредоносное приложение использует эту брешь, оно может получить доступ к тем же данным, что и уязвимая программа. Если киберпреступник внедрит код в приложения социальных сетей, он сможет шпионить за жертвами, если введет код в мессенджеры - получит доступ ко всем сообщениям. Возможности атаки здесь ограничены только воображением злоумышленников", - рассказывает Авиран Хазум.

Заместитель руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин говорит, что оценивать весь рынок приложений Google Play Store сложно, но это до сих пор весьма опасный маркетплейс. "Речь не идет про заведомо вредоносные приложения, а просто про приложения, которые созданы с использованием уязвимой библиотеки. Эта уязвимость позволяет похищать данные из таких приложений с помощью других, установленных на устройстве пользователя. Данные могут быть любые, в зависимости от типа приложения. Конечно количество таких приложений уменьшается - так как при обновлении они, как правило, переходят на новую, безопасную версию библиотеки, - однако они все еще встречаются. Помочь в данном случае может только Google и его политика модерации приложений, например, принудив разработчиков пересобрать приложения под свежие версии API и библиотеки, в течение какого-то времени. Однако это может уничтожить приложения, которые больше не разрабатываются и не обновляются", - считает Сергей Никитин.

Эксперты вирусной лаборатории компании "Доктор Веб" объяснили, что в таком случае под угрозой оказываются внутренние файлы приложения: именно к ним смогут получить доступ мошенники. "Основная опасность в том, что уязвимость позволяет осуществить доступ к этим файлам, даже не имея root-доступа. Чтобы избежать угрозы, следует вовремя обновлять приложения и стараться не устанавливать неизвестные программы", - рассказали эксперты компании "Доктор Веб".

"Уязвимость была характерна для библиотеки Play Core до версии 1.7.2. Патч безопасности, устраняющий проблему, появился в марте 2020 г., после чего успел появиться еще ряд обновлений. Многие разработчики Android-приложений уже обновили библиотеку до версии 1.7.2 или более поздних. Пользователям приложений, разработчики которых не успели обновить библиотеки ПО, не следует паниковать. Чтобы провести успешную атаку и завладеть персональными данными пользователей, злоумышленнику потребуется провести сложную многоступенчатую атаку. И тот факт, что мы массово не слышали ни об одной успешной кибератаке с применением этой уязвимости, подтверждает сложность ее эксплуатации", - сообщил директор центра решений безопасности ПО компании "Ростелеком-Солар" Даниил Чернов.

Даниил Чернов объясняет, что такая ситуация происходит по трем причинам. "Во-первых, эксплуатация CVE-2020-8913 возможна только с помощью созданного apk-файла, который предполагаемый злоумышленник должен разработать специально для атаки на уязвимое приложение. Во-вторых, чтобы получить персональные данные пользователей, хакеру необходимо принудить их установить этот файл из стороннего ресурса, при этом система Android предупредит пользователя, что источник непроверенный. В-третьих, персональные данные, которые хранятся в системах приложений, чаще всего зашифрованы. Если у хакера нет ключей дешифрования, он получит лишь набор символов, а не номера банковских карт и ФИО их владельцев", - подчеркивает Даниил Чернов.

Тем не менее, как объясняет Даниил Чернов, пользователю необходимо помнить несколько базовых правил, которые позволят себя обезопасить. Не стоит скачивать сторонние apk и любые другие файлы из непроверенных источников. Кроме того, следует регулярно обновлять версии установленных приложений, ведь в обновлениях могут содержаться патчи, которые решают обнаруженные проблемы безопасности.

Технический директор Trend Micro в России и СНГ Михаил Кондрашин подчеркивает, что опасность всех уязвимостей в том, что, как только они выявляются, под угрозой оказываются данные, которые еще вчера были надежно защищены. "Основной способ устранения подобных брешей - установка обновлений - зачастую недоступен. Например, как в случае с уязвимостью CVE-2020-2913. Пользователь и не знает, что какие-то из используемых им приложений все еще уязвимы, просто потому, что разработчики пока не удосужились обновить уязвимый компонент. Всем пользователям обязательно нужно обновить версии используемых приложений до последних. Все-таки все приложения первого эшелона уже обновились. Наверняка спустя некоторое время все приложения будут обновлены, и угроза сойдет на нет", - отмечает Михаил Кондрашин.

Руководитель группы исследований безопасности мобильных приложений Positive Technologies Николай Анисеня рассказывает, что внедрение произвольного кода - это возможность для злоумышленника действовать от имени атакуемого приложения. При этом атакующий получает доступ ко всем хранимым данным этого приложения, а также может пользоваться всеми выданными этому приложению разрешениями.

"Исправить уязвимость может только разработчик, поэтому мы всегда рекомендуем устанавливать обновления для приложений и системных компонентов. Не устанавливайте приложения от не вызывающих доверия разработчиков и из сомнительных источников, а также не переходите по подозрительным ссылкам", - рекомендует Николай Анисеня.