La empresa de seguridad, Check Point, desveló hace unos días que las aplicaciones más conocidas de la Play Store de Google continúan siendo vulnerables al conocido fallo de seguridad CVE-2020-8913, por lo que los datos de cientos de millones de usuarios de Android están expuestos. Dicha vulnerabilidad permite que un ciberdelincuente inyecte software malicioso en las aplicaciones afectadas, obteniendo así acceso a toda la información que esta app almacena.
Este error tiene su origen en la popular biblioteca Play Core de Google que permite a los desarrolladores introducir actualizaciones y nuevos módulos de características en las aplicaciones de Android. La vulnerabilidad permite añadir módulos ejecutables a cualquier aplicación que use la biblioteca, lo que significa que se podría inyectar cualquier código dentro de ellas. El ciberdelincuente que haya instalado una aplicación de malware en el dispositivo de la víctima podría llegar a robar la información privada como los datos de inicio de sesión, las contraseñas, información financiera e incluso tener acceso al correo.
Los desarrolladores necesitan actualizarse lo antes posible
Google reconoció y parcheó el error el 6 de abril de 2020, calificándolo con un 8,8 sobre 10 acorde al nivel de gravedad. Sin embargo, para que la amenaza desaparezca por completo, los desarrolladores tienen que incorporar el parche en sus respectivas aplicaciones. Los investigadores de Check Point decidieron seleccionar al azar una serie de aplicaciones para ver qué desarrolladores implementaron realmente el parche proporcionado por Google. Durante el mes de septiembre, el 13% de las aplicaciones de Google Play analizadas por los investigadores de la compañía utilizaban la biblioteca de Google Play Core, de las cuáles un 8% todavía tenían una versión vulnerable:
- Social: Viber
- Viajes: Booking
- Negocio: Cisco Teams
- Navegación y mapas: Yango Pro (Taximeter), Moovit
- Citas: Grindr, OKCupid, Bumble
- Navegadores: Edge
- Utilidades: Xrecorder, PowerDirector
Para demostrar su teoría, los investigadores de Check Point usaron una versión vulnerable de la aplicación de Google Chrome y crearon una carga útil específicamente diseñada para tomar sus marcadores. Las pruebas demuestran que se pueden obtener cookies para secuestrar una sesión existente con servicios de terceros, como DropBox. Una vez que esa carga útil se «inyecta» en Google Chrome, ésta tendrá acceso a información como el historial y los marcadores de datos, el administrador de contraseñas como servicio, etc. Por su parte, Google comunicó a los investigadores de Check Point que “la vulnerabilidad relevante CVE-2020-8913 no existe en las versiones actualizadas de Play Core».
«Calculamos que cientos de millones de usuarios de Android están expuestos a este fallo de seguridad, ya que aunque Google implementó un parche, muchas aplicaciones siguen usando bibliotecas Play Core obsoletas. La vulnerabilidad CVE-2020-8913 es muy peligrosa, puesto que permite a un ciberdelincuente acceder a una gran cantidad de información”, señala Aviran Hazum, director de investigación de amenazas móviles en Check Point. “Por ejemplo, podría permitir robar códigos de autenticación de dos factores o inyectar código en aplicaciones bancarias para obtener las credenciales de un usuario. Otro de los escenarios sería que un ciberdelincuente pudiera inyectar código en aplicaciones de redes sociales para espiar a las víctimas o interceptar las comunicaciones realizadas a través de las aplicaciones de mensajería instantánea. En definitiva, las posibilidades de ataque son infinitas», concluye.