Разработчики популярных Android-приложений забыли исправить опасную уязвимость

Около 8% приложений Android, доступных в официальном магазине Google Play Store, содержат уязвимости в популярной библиотеке для Android. По словам специалистов из компании Check Point, проблема находится в более старых версиях Play Core, Java-библиотеки, которую разработчики могут встраивать в свои приложения для взаимодействия с официальным порталом Play Store.

Библиотека Play Core очень популярна, поскольку ее могут использовать разработчики приложений для загрузки и установки обновлений, размещенных в Play Store, модулей, языковых пакетов или даже других приложений.

Ранее в этом году исследователи безопасности из Oversecured обнаружили серьезную уязвимость ( CVE-2020-8913 ) в библиотеке Play Core, эксплуатация которой позволяла установленному на устройстве пользователя вредоносному ПО внедрить мошеннический код в другие приложения и похитить конфиденциальные данные, таких как пароли, фотографии, коды 2FA и пр. Google исправила проблему в версии Play Core 1.7.2 еще в марте нынешнего года, однако, как оказалось, не все разработчики обновили библиотеку Play Core.

По результатам сканирования, проведенного Check Point, через шесть месяцев после выпуска обновления для Play Core, 13% от всех приложений в Google Play Store по-прежнему использовали данную библиотеку, и только 5% использовали обновленную (безопасную) версию. Среди приложений с наибольшим количеством пользователей, которым не удалось обновить библиотеку, Check Point выявила Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber и Booking.com.

Исследователи из Check Point уведомили разработчиков всех приложений о своих находках, однако даже три месяца спустя только Viber и Booking.com позаботились о применении исправления.