Aplicaciones tan populares como Edge Browser o Power Director son algunas de las afectadas por una vulnerabilidad de Google Play Core (CVE-2020-8913). Así lo ha indicado la empresa de ciberseguridad Check Point que ha detectado que el fallo de seguridad no está corregido del todo. Aplicaciones de Android con cientos de millones de descargas son vulnerables a ataques que permiten que aplicaciones maliciosas roben contactos, credenciales de inicio de sesión, mensajes privados y otra información confidencial. La firma de seguridad Check Point confirma que Edge Browser, el grabador de video y pantalla XRecorder y el editor de video PowerDirector se encuentran entre los afectados. Apps populares de Android son vulnerables a un bug ya parcheado que pone en peligro a millones de usuarios Aunque Google implementó un parche, muchas aplicaciones siguen usando bibliotecas Play Core obsoletas

A fines de agosto se publicó una nueva vulnerabilidad para la biblioteca principal de Google Play, que permite la ejecución de código local (LCE) dentro del alcance de cualquier aplicación que tenga la versión vulnerable de la biblioteca principal de Google Play.

La brecha permite que las otras aplicaciones maliciosas roben datos cruciales de los usuarios como los contactos, las credenciales de inicio de sesión, los mensajes privados y otra información confidencial. Algunas de las aplicaciones afectadas cuentan con millones de descargas. 

La vulnerabilidad, en realidad, reside en Google Play Core Library, un código creado por Google. Esta sección permite que las aplicaciones agilicen el proceso de actualización, por ejemplo, al recibir nuevas versiones durante el tiempo de ejecución y adaptar las actualizaciones a la configuración específica de un modelo de teléfono específico en el que se ejecuta la aplicación.

El fallo de seguridad se descubrió en agosto gracias a la empresa de seguridad Oversecured. A través de él es posible que la aplicación instalada ejecute un código en cualquier otra aplicación que dependa de la versión vulnerable de la biblioteca. Y este error abrió la posibilidad a que fuentes no confiables copiaran archivos en una carpeta que se suponía estaba reservada solo para el código confiable de Google Play. 

Google ya ha corregido el error en Google Play, sin embargo, parte del proceso para reforzar la seguridad ante este posible ataque depende de los demás desarrolladores de otras aplicaciones. Ellos deben descargar la biblioteca actualizada y luego incorporarla en el código de su aplicación. Según los resultados de la investigación de Check Point, un número considerable de desarrolladores siguió utilizando la versión vulnerable de la biblioteca y, por lo tanto, sus aplicaciones siguen siendo un riesgo para la seguridad de los usuarios.

Las aplicaciones identificadas por Check Point incluyeron Edge, XRecorder y PowerDirector, que se han instalado en 160 millones de dispositivos. Mientras se soluciona este fallo de seguridad, siempre es conveniente que todos los usuarios cuenten con un sistema de antivirus fuerte en todos los dispositivos, mantenerlos actualizado el móvil y cualquier aplicación para recibir las correcciones de código que hagan los desarrolladores y extremar la precaución cuando vayamos a descargar cualquier aplicación. 

Aplicaciones afectatadas:

Viber, Booking, Cisco Teams, Yango Pro (Taximeter), Moovit, Grindr, OKCupid, Bumble, Edge, Xrecorder y PowerDirector.

¿Qué es la biblioteca principal de Google Play?

La vulnerabilidad en realidad reside en Google Play Core Library, que es una colección de código creado por Google. La biblioteca permite que las aplicaciones simplifiquen el proceso de actualización, por ejemplo, al recibir nuevas versiones durante el tiempo de ejecución y adaptar las actualizaciones a la configuración específica de una aplicación individual o al modelo de teléfono específico en el que se ejecuta la aplicación.

De la documentación de desarrollo de Android de Google:

Play Core Library es la interfaz de ejecución de su aplicación con Google Play Store. Algunas de las cosas que puede hacer con Play Core son las siguientes:

•     Descargar recursos de idiomas adicionales
•     Gestionar la entrega de módulos de funciones
•     Gestionar la entrega de paquetes de activos
•     Activar actualizaciones en la aplicación
•     Solicitar revisiones en la aplicación

Entonces, básicamente, la biblioteca principal de Google Play es una puerta de entrada para interactuar con los servicios de Google Play desde la propia aplicación, comenzando desde la carga de código dinámico (como descargar niveles adicionales solo cuando sea necesario), hasta la entrega de recursos específicos de la configuración regional, para interactuar con Mecanismos de revisión de Google Play.

Muchas aplicaciones populares utilizan esta biblioteca, que incluyen:

•     Google Chrome
•     Facebook
•     Instagram
•     WhatsApp
•     SnapChat
•     Reserva
•     Borde

Solo Facebook e Instagram son responsables de 5 mil millones y 1 mil millones de descargas hasta la fecha, respectivamente, de Google Play Store. Imagine la cantidad de dispositivos que se vieron afectados por esta vulnerabilidad.

¿Qué es CVE-2020-8913?

En agosto, la empresa de seguridad Oversecured reveló un error de seguridad en la biblioteca principal de Google Play que permitía que una aplicación instalada ejecutara código en el contexto de cualquier otra aplicación que dependiera de la versión vulnerable de la biblioteca.

La vulnerabilidad se debió a una falla transversal de directorio que permitió que fuentes no confiables copiaran archivos en una carpeta que se suponía estaba reservada solo para el código confiable recibido de Google Play. La vulnerabilidad socavó una protección central integrada en el sistema operativo Android que evita que una aplicación acceda a datos o códigos pertenecientes a cualquier otra aplicación.

OverSecured ya cubrió los aspectos técnicos de esta vulnerabilidad. Para un análisis técnico más profundo, consulte su blog.

• https://blog.oversecured.com/Oversecured-automatically-discovers-persistent-code-execution-in-the-Google-Play-Core-Library/

Una breve descripción general: Dentro de la zona de pruebas de cada aplicación, hay dos carpetas: una para los archivos "verificados" recibidos de Google Play y otra para los archivos "no verificados". Los archivos descargados de los servicios de Google Play van a la carpeta verificada, mientras que los archivos descargados de otras fuentes se envían a la carpeta no verificada. Cuando se escribe un archivo en la carpeta verificada, interactúa con la biblioteca de Google Play Core que lo carga y lo ejecuta.

Otra característica, una intención exportada, permite que otras fuentes envíen archivos a la zona de pruebas de la aplicación de alojamiento. Existen algunas limitaciones: el archivo se inserta en la carpeta no verificada y la biblioteca no lo maneja automáticamente.

La vulnerabilidad radica en la combinación de las dos características mencionadas anteriormente y también utiliza el cruce de archivos, un concepto tan antiguo como la propia Internet. Cuando una fuente de terceros inserta un archivo en otra aplicación, debe proporcionar una ruta para que se escriba el archivo. Si un atacante utiliza el cruce de archivos (../verified_splits/my_evil_payload.apk), la carga útil se escribe en la carpeta verificada y se carga automáticamente en la aplicación vulnerable y se ejecuta dentro de su alcance.

Google parcheó esta vulnerabilidad el 6 de abril de 2020.

Impacto y magnitud:

Cuando combinamos aplicaciones populares que utilizan la biblioteca Google Play Core y la vulnerabilidad de ejecución de código local, podemos ver claramente los riesgos. Si una aplicación maliciosa aprovecha esta vulnerabilidad, puede obtener la ejecución de código dentro de aplicaciones populares y tener el mismo acceso que la aplicación vulnerable.

Las posibilidades están limitadas solo por nuestra creatividad. A continuación, presentamos algunos ejemplos:

•     Inyecte código en aplicaciones bancarias para obtener credenciales y, al mismo tiempo, tenga permisos de SMS para robar los códigos de autenticación de dos factores (2FA).
•     Inyecte código en las aplicaciones empresariales para obtener acceso a los recursos corporativos.
•     Inyecte código en aplicaciones de redes sociales para espiar a la víctima y use el acceso a la ubicación para rastrear el dispositivo.
•     Inyecte código en aplicaciones de mensajería instantánea para capturar todos los mensajes y posiblemente enviar mensajes en nombre de la víctima.

Dado que la vulnerabilidad se corrigió en abril, ¿por qué hay motivo de preocupación ahora? La respuesta es porque los desarrolladores deben introducir el parche en la aplicación. A diferencia de las vulnerabilidades del lado del servidor, donde la vulnerabilidad se repara por completo una vez que el parche se aplica al servidor, para las vulnerabilidades del lado del cliente, cada desarrollador debe tomar la última versión de la biblioteca e insertarla en la aplicación.

Como el factor humano es uno de los más difíciles de superar en lo que respecta a la seguridad, decidimos ver qué aplicaciones parchearon la vulnerabilidad y cuáles siguen siendo vulnerables para obtener una mejor comprensión general de la magnitud de la vulnerabilidad.

Desde la publicación de esta vulnerabilidad, comenzamos a monitorear aplicaciones vulnerables.
Durante el mes de septiembre de 2020, el 13% de las aplicaciones de Google Play analizadas por SandBlast Mobile utilizaron esta biblioteca, y el 8% de esas aplicaciones tenían una versión vulnerable.

También comparamos las versiones de septiembre con las versiones actuales en Google Play para poder ver qué aplicaciones aún están afectadas. Para nuestra sorpresa, descubrimos aplicaciones de una gran variedad de géneros:

•     Social - * Viber
•     Viajes - * Reserva
•     Negocios - *** Cisco Teams
•     Mapas y navegación - Yango Pro (taxímetro), ** Moovit
•     Citas - ** Grindr, OKCupid
•     Navegadores - Edge
•     Utilidades: Xrecorder, PowerDirector

Fuentes:

https://research.checkpoint.com/2020/vulnerability-in-google-play-core-library-remains-unpatched-in-google-play-applications/

https://computerhoy.com/noticias/tecnologia/algunas-aplicaciones-populares-google-play-son-vulnerables-robo-masivo-datos-768203