Os especialistas identificam regularmente novas vulnerabilidades no software, por isso é melhor para os usuários estarem alertas, e os desenvolvedores – para consertar seus programas a tempo, porque as informações sobre eles se tornam públicas. Mas às vezes os criadores de aplicativos negligenciam essa responsabilidade, colocando a segurança das pessoas em risco. Em agosto, foi relatada uma vulnerabilidade que possibilitou ataques locais e execução de código em dispositivos Android, mas esse buraco ainda não foi fechado em softwares populares.

Os especialistas da Check Point Research, Aviran Hazum e Jonathan Shimonovich, relataram sobre a vulnerabilidade do Android CVE-2020-8913, que o Google fechou em abril deste ano. Ele tem uma alta pontuação de 8,8 em 10 no Common Vulnerability Scoring System (CVSS) e afeta o Android Play Core 1.7.2 e anteriores. Entre os aplicativos que ainda usam essas versões vulneráveis ​​da biblioteca, os seguintes são listados (os mais populares para diferentes categorias são fornecidos):

  • Redes sociais – Viber *;
  • Viagem – reserva *;
  • Negócios – Cisco Teams **;
  • Mapas e navegação – Yango Pro (taxímetro) e Moovit **;
  • Namoro – Grindr **, OKCupid;
  • Navegadores – Edge;
  • Utilitários – Xrecorder e PowerDirector.

Todas as empresas de desenvolvimento foram notificadas sobre a vulnerabilidade, e as correções já foram feitas no software marcado com asteriscos (aplicativos com tags ** foram corrigidos apenas no dia anterior). No entanto, para garantir a segurança, todos os aplicativos que usam o Play Core precisam ser atualizados para uma versão mais recente da biblioteca – o Google não pode fazer isso.

Em geral, é muito ruim que os criadores de tal software popular precisassem ser lembrados da necessidade de adicionar um patch contra uma vulnerabilidade grave quase 7 meses após o patch ser lançado e 3 meses após a informação sobre o problema se tornar pública – ou seja, qualquer invasor poderia ter sido aproveite esta falha de segurança.

avalanche

Postagens recentes

Arábia Saudita obtém aprovação da UE para comprar Electronic Arts

\nUm grupo de investidores, incluindo o Fundo Soberano da Arábia Saudita, espera receber a aprovação…

19 minutos atrás

Os investidores duvidaram do boom da IA ​​- as ações dos fabricantes de chips caíram

\nA semana passada se tornou uma das mais malsucedidas para os fabricantes de semicondutores desde…

1 hora atrás

Para IA e para “quants”: supercomputadores RIKYU e ROQUO baseados em NVIDIA GB200 NVL4 entraram em operação no Japão

\nO Centro de Ciências Computacionais do Instituto de Pesquisa Física e Química do Japão (Centro…

1 hora atrás

A Microsoft está desenvolvendo o Project Perception, sua resposta aos mitos antrópicos

\nÀ medida que a inteligência artificial muda o cenário do mercado de segurança cibernética, a…

1 hora atrás

Os EUA queriam “sua parte” nos lucros excessivos dos fabricantes de chips coreanos

Os Estados Unidos queriam obter uma parte dos enormes lucros das empresas sul-coreanas de semicondutores…

4 horas atrás