Una vulnerabilidad pone en peligro a cientos de millones de usuarios de apps Android

Recomendados:  2021, ¿el año de la ciberdefensa? Webinar Amenazas a las empresas en España durante la pandemia Leer  Informe de ciberamenazas en el tercer trimestre de 2020 Leer

Check Point Software Technologies desvela que algunas de las aplicaciones más populares de la Play Store de Google continúan siendo vulnerables al fallo de seguridad CVE-2020-8913, por lo que los datos de cientos de millones de usuarios de Android están expuestos.

Este error tiene su origen en la biblioteca Play Core de Google, que permite a los desarrolladores introducir actualizaciones y nuevos módulos de características en las aplicaciones de Android. La vulnerabilidad permite que un ciberdelincuente inyecte software malicioso a cualquier aplicación que use la biblioteca, lo que significa que se podría inyectar cualquier código dentro de ellas. El ciberdelincuente que haya instalado una aplicación de malware en el dispositivo de la víctima tendrá acceso a toda la información que esta app almacena, como los datos de inicio de sesión, las contraseñas, información financiera e incluso tener acceso al correo.

Google reconoció y parcheó el error el 6 de abril de 2020. Sin embargo, muchos desarrolladores no han incorporado el parche en sus respectivas aplicaciones. Tras seleccionar al azar una serie de aplicaciones, durante el mes de septiembre, los investigadores de Check Point descubrieron que el 13% de las aplicaciones de Google Play analizadas utilizaban la biblioteca de Google Play Core, de las cuáles un 8% todavía tenían una versión vulnerable, entre ellas Viber, Booking, Cisco Teams, Yango Pro (Taximeter), Moovit, Grindr, OKCupid, Bumble, Edge, Xrecorder y PowerDirector.

Para demostrar su teoría, los investigadores de Check Point usaron una versión vulnerable de la aplicación de Google Chrome y crearon una carga útil específicamente diseñada para tomar sus marcadores. Las pruebas demuestran que se pueden obtener cookies para secuestrar una sesión existente con servicios de terceros, como DropBox. Una vez que esa carga útil se "inyecta" en Google Chrome, ésta tendrá acceso a información como el historial y los marcadores de datos, el administrador de contraseñas como servicio, etc. Por su parte, Google comunicó a los investigadores de Check Point que “la vulnerabilidad relevante CVE-2020-8913 no existe en las versiones actualizadas de Play Core".

"Calculamos que cientos de millones de usuarios de Android están expuestos a este fallo de seguridad, ya que, aunque Google implementó un parche, muchas aplicaciones siguen usando bibliotecas Play Core obsoletas. La vulnerabilidad CVE-2020-8913 es muy peligrosa, puesto que permite a un ciberdelincuente acceder a una gran cantidad de información”, señala Aviran Hazum, director de investigación de amenazas móviles en Check Point. “Por ejemplo, podría permitir robar códigos de autenticación de dos factores o inyectar código en aplicaciones bancarias para obtener las credenciales de un usuario. Otro de los escenarios sería que un ciberdelincuente pudiera inyectar código en aplicaciones de redes sociales para espiar a las víctimas o interceptar las comunicaciones realizadas a través de las aplicaciones de mensajería instantánea. En definitiva, las posibilidades de ataque son infinitas".