云安全日报200902:谷歌Android系统发现重要漏洞,可窃取敏感数据
8月底,安全研究人员发现了Android系统中的一个严重漏洞,该漏洞允许恶意应用程序在设备上下载和运行,并从其他应用窃取用户的敏感数据。以下是漏洞详情:
漏洞详情
CVE-2020-8913 CSS评分 8.8 高危
具体来说,该漏洞存在于Google Play Core中,该漏洞使应用程序开发人员可以对应用程序进行更新。 因此,所有依赖此组件进行更新的应用都可能受到此漏洞的威胁。恶意应用可能利用此组件将恶意模块注入其他应用以窃取数据。
Google PlayCore 核心库是适用于Android的流行库,它允许在运行时交付应用程序各个部分的更新,而无需用户通过Google API参与。通过加载针对特定设备和设置(本地化,图像尺寸,处理器体系结构,动态模块)优化的资源,而不是存储许多可能的版本,它还可用于减少主apk文件的大小。
恶意攻击者可以创建针对特定应用程序的apk,如果受害者要安装该apk,则攻击者可以执行目录遍历,将代码作为目标应用程序执行,并在Android设备上窃取目标应用程序的数据。
作为概念验证,研究人员通过使用几行代码构建应用程序发现了该漏洞,并在Android版Google Chrome上测试了该漏洞,可以成功窃取包括信用卡号,密码,浏览历史记录和登录cookie在内的数据。
Google将该漏洞评估为高度危险。这意味着许多流行的应用程序(包括Google Chrome,Mozilla Firefox浏览器,金融和银行应用程序,非银行应用程序等)容易受到任意代码执行的攻击。这可能导致用户凭证和财务详细信息(包括信用卡历史记录)泄漏;以拦截和篡改其浏览器历史记录,cookie文件等。要删除它们,开发人员应将Google Play Core库更新为最新版本,而用户应更新其所有应用。
受影响产品和版本
Play Core Library 1.7.2版本以下存在该漏洞,并且此漏洞影响所有依赖Play Core 核心组件进行更新的应用(包括Google Chrome,Mozilla Firefox浏览器,金融和银行应用程序等)
解决方案
Play Core Library 1.7.2或更高版本中修复了该漏洞,建议开发人员应将Google Play Core库更新为最新版本,而用户应更新其所有应用。
文章来源:
https://latesthackingnews.com/2020/09/01/android-bug-could-allow-malicious-apps-to-steal-user-data-from-other-apps/