decembre 2020 via Check Point
D’innombrables applications Android toujours vulnerables a votre bug majeur, mettant en danger des centaines de millions d’utilisateurs. De multiples applications sur le Play Store de Google paraissent bien vulnerables a votre bug connu, CVE-2020-8913, qui permet aux acteurs d’la menace d’injecter du code malveillant dans des applications vulnerables, afin d’acceder a l’ensemble des memes ressources de l’application d’hebergement. Les acteurs de la menace peuvent se servir de les applications vulnerables pour usurper des precisions sensibles d’autres applications sur le aussi appareil, en volant les precisions privees des utilisateurs, telles que nos details de connexion, les mots de passe, les details financiers et le courrier.
• Notre faille de securite trouve le origine dans la bibliotheque Play Core de Google, tres utilisee, qui permet a toutes les developpeurs d’integrer des mises a jour ainsi que nouveaux modules de fonctionnalites a leurs applications Android • Google a corrige ma faille en avril 2020, mais les developpeurs eux-memes doivent installer la nouvelle bibliotheque Play Core De sorte i faire disparaitre totalement la menace • Les chercheurs de Check Point ont selectionne au hasard un certain nombre d’applications de premier plan pour confirmer l’existence une vulnerabilite CVE-2020-8913. Vulnerabilite confirmee dans Grindr, Bumble, OKCupid, Cisco Teams, Moovit, Yango Pro, Edge, Xrecorder, PowerDirector • Plusieurs chercheurs de Check Point demontrent l’exploitation d’la vulnerabilite de l’application Google Chrome d’Android
Vue d’ensemble : Une nouvelle vulnerabilite dans la bibliotheque Google Play Core a ete publiee fin aout, qui permet l’execution locale de code (Local-Code-Execution, LCE) dans le contexte de toute application qui utilise la version vulnerable de la bibliotheque Google Play Core. Dans ce document, nous analysons l’impact et l’ampleur de cette vulnerabilite du angle d’approche de la securite.
Contexte : Qu’est-ce que J’ai bibliotheque Google Play Core ? Tire en documentation de developpement Android de Google :
Notre bibliotheque Play Core Library reste l’interface d’execution de ce application avec Google Play Store. Voici quelques-unes des actions que vous pourrez effectuer avec Google Play Core : • Telecharger des ressources linguistiques supplementaires • Gerer Notre fourniture de modules de fonctionnalites • Gerer la fourniture de packs de ressources • Declencher des mises a jour dans l’application • Demander des avis depuis l’application
Ainsi, la bibliotheque Google Play Core est une passerelle permettant d’interagir au milieu des services Google Play depuis l’application elle-meme, a commencer par le chargement de code dynamique (comme le telechargement de niveaux supplementaires en cas de besoin seulement), la fourniture de ressources localisees specifiques et l’interaction avec les mecanismes d’avis de Google Play.
De multiples applications populaires utilisent votre bibliotheque, principalement : • Google Chrome • Facebook • Instagram • WhatsApp • SnapChat • Booking • Edge
Facebook et Instagram representent a eux seuls 5 milliards et 1 milliard de telechargements respectivement a ce jour depuis Google Play Store. Imaginez le nombre d’appareils ayant ete touches par une telle vulnerabilite.
Qu’est-ce que CVE-2020-8913 ?
OverSecured a deja presente nos aspects techniques de une telle vulnerabilite. Pour une etude technique plus approfondie, veuillez vous referer a le blog. Un bref apercu : Dans Notre sandbox de chaque application, il y a deux dossiers : votre pour les fichiers « verifies » recus de Google Play, ainsi, un nouvelle pour des fichiers « non verifies ». Mes fichiers telecharges avec les services Google Play vont dans le dossier verifie, tandis que les fichiers telecharges d’autres sources seront envoyes dans le dossier non verifie. Lorsqu’un fichier est ecrit au dossier verifie, il interagit avec la bibliotheque Google Play Core qui le charge et l’execute.
Une intention exportee reste une autre fonctionnalite qui permet a d’autres sources de pousser des fichiers dans la sandbox de l’application. Il y a cependant deux limitations : le fichier est pousse dans le dossier non verifie, et il n’est nullement automatiquement traite par la bibliotheque. J’ai vulnerabilite reside dans la combinaison des deux fonctionnalites mentionnees ci-dessus, ainsi, utilise egalement la traversee de fichiers, un concept aussi vieux qu’Internet lui-meme. Lorsqu’une source tierce pousse un fichier dans une autre application, elle devra fournir 1 chemin d’acces pour que le fichier puisse etre ecrit. Lorsqu’un pirate utilise la traversee de fichiers (../verified_splits/mon_code_malveillant.apk), le code malveillant reste ecrit au dossier verifie, ainsi, est directement charge dans l’application vulnerable et execute dans le contexte.
Google a corrige une telle vulnerabilite le 6 avril 2020.
Impact et ampleur : Quand nous combinons des applications populaires qui utilisent la bibliotheque Play Core de Google et J’ai vulnerabilite d’execution locale de code, nous pouvons bien voir les risques. Lorsqu’une application malveillante exploite une telle vulnerabilite, elle va executer du code dans des applications populaires et beneficier du meme acces que l’application vulnerable.
Mes possibilites ne semblent limitees que avec notre creativite. Voici des exemples : • Injection de code dans des applications bancaires Afin de s’emparer des identifiants, ainsi, en meme temps libre beneficier des autorisations i propos des SMS Afin de voler des codes d’authentification a deux facteurs (2FA). • Injection de code dans des applications d’entreprise pour acceder aux ressources de l’entreprise. • Injection de code dans des applications de reseaux sociaux pour espionner la victime, et se servir de l’acces a la geolocalisation pour suivre l’appareil. • Injection de code dans des applications de messagerie instantanee pour capturer l’integralite des messages, et eventuellement envoyer des messages au nom de la victime.
Comme J’ai vulnerabilite a ete corrigee en avril, pourquoi s’inquieter maintenant ? Notre reponse reste que les developpeurs doivent pousser le correctif au sein d’ leurs applications. Contrairement aux vulnerabilites cote serveur, qui peuvent etre entierement corrigees un coup que le correctif reste applique sur le serveur, pour nos vulnerabilites cote client, chaque developpeur devra utiliser Notre derniere version une bibliotheque et l’inserer dans le application.
Le facteur humain etant l’un des plus difficiles a surmonter en matiere de securite, nous avons decide de determiner quelles applications ont corrige la vulnerabilite et lesquelles sont encore vulnerables, afin d’avoir une meilleure comprehension globale de l’ampleur d’une vulnerabilite. Depuis la publication de cette vulnerabilite, nous avons commence a surveiller les applications vulnerables.
Au cours du mois de septembre 2020, 13 % des applications Google Play analysees par SandBlast Mobile utilisaient votre bibliotheque, et 8 % des applications comprenaient une version vulnerable.
Nous avons egalement compare les versions de septembre aux versions actuelles sur Google Play afin de voir quelles applications etaient encore concernees. A notre grande surprise, nous avons decouvert une grande variete d’applications : • Social – Viber • Voyage – Booking • Entreprises – Cisco Teams • Cartes et navigation – Yango Pro (Taximetre), Moovit • Rencontres – Grindr sites de rencontres d’Г©lite, OKCupid, Bumble • Navigateurs – Edge • Utilitaires – Xrecorder, PowerDirector