Milhões em risco: o bug do Google Play Core persiste por 7 meses em vários aplicativos populares

Os especialistas identificam regularmente novas vulnerabilidades no software, por isso é melhor para os usuários estarem alertas, e os desenvolvedores – para consertar seus programas a tempo, porque as informações sobre eles se tornam públicas. Mas às vezes os criadores de aplicativos negligenciam essa responsabilidade, colocando a segurança das pessoas em risco. Em agosto, foi relatada uma vulnerabilidade que possibilitou ataques locais e execução de código em dispositivos Android, mas esse buraco ainda não foi fechado em softwares populares.

Os especialistas da Check Point Research, Aviran Hazum e Jonathan Shimonovich, relataram sobre a vulnerabilidade do Android CVE-2020-8913, que o Google fechou em abril deste ano. Ele tem uma alta pontuação de 8,8 em 10 no Common Vulnerability Scoring System (CVSS) e afeta o Android Play Core 1.7.2 e anteriores. Entre os aplicativos que ainda usam essas versões vulneráveis ​​da biblioteca, os seguintes são listados (os mais populares para diferentes categorias são fornecidos):

• Redes sociais – Viber *;
• Viagem – reserva *;
• Negócios – Cisco Teams **;
• Mapas e navegação – Yango Pro (taxímetro) e Moovit **;
• Namoro – Grindr **, OKCupid;
• Navegadores – Edge;
• Utilitários – Xrecorder e PowerDirector.

Todas as empresas de desenvolvimento foram notificadas sobre a vulnerabilidade, e as correções já foram feitas no software marcado com asteriscos (aplicativos com tags ** foram corrigidos apenas no dia anterior). No entanto, para garantir a segurança, todos os aplicativos que usam o Play Core precisam ser atualizados para uma versão mais recente da biblioteca – o Google não pode fazer isso.

Em geral, é muito ruim que os criadores de tal software popular precisassem ser lembrados da necessidade de adicionar um patch contra uma vulnerabilidade grave quase 7 meses após o patch ser lançado e 3 meses após a informação sobre o problema se tornar pública – ou seja, qualquer invasor poderia ter sido aproveite esta falha de segurança.