Os especialistas identificam regularmente novas vulnerabilidades no software, por isso é melhor para os usuários estarem alertas, e os desenvolvedores – para consertar seus programas a tempo, porque as informações sobre eles se tornam públicas. Mas às vezes os criadores de aplicativos negligenciam essa responsabilidade, colocando a segurança das pessoas em risco. Em agosto, foi relatada uma vulnerabilidade que possibilitou ataques locais e execução de código em dispositivos Android, mas esse buraco ainda não foi fechado em softwares populares.
Os especialistas da Check Point Research, Aviran Hazum e Jonathan Shimonovich, relataram sobre a vulnerabilidade do Android CVE-2020-8913, que o Google fechou em abril deste ano. Ele tem uma alta pontuação de 8,8 em 10 no Common Vulnerability Scoring System (CVSS) e afeta o Android Play Core 1.7.2 e anteriores. Entre os aplicativos que ainda usam essas versões vulneráveis da biblioteca, os seguintes são listados (os mais populares para diferentes categorias são fornecidos):
- Redes sociais – Viber *;
- Viagem – reserva *;
- Negócios – Cisco Teams **;
- Mapas e navegação – Yango Pro (taxímetro) e Moovit **;
- Namoro – Grindr **, OKCupid;
- Navegadores – Edge;
- Utilitários – Xrecorder e PowerDirector.
Todas as empresas de desenvolvimento foram notificadas sobre a vulnerabilidade, e as correções já foram feitas no software marcado com asteriscos (aplicativos com tags ** foram corrigidos apenas no dia anterior). No entanto, para garantir a segurança, todos os aplicativos que usam o Play Core precisam ser atualizados para uma versão mais recente da biblioteca – o Google não pode fazer isso.
Em geral, é muito ruim que os criadores de tal software popular precisassem ser lembrados da necessidade de adicionar um patch contra uma vulnerabilidade grave quase 7 meses após o patch ser lançado e 3 meses após a informação sobre o problema se tornar pública – ou seja, qualquer invasor poderia ter sido aproveite esta falha de segurança.