Jump to content
  • Uma nova vulnerabilidade para a Google Play Core Library foi descoberta no final de agosto, permitindo a execução de código local (LCE) no escopo de qualquer aplicativo que tenha a versão vulnerável da biblioteca Google Play Core.

    A Play Core Library é a interface de tempo de execução do aplicativo com a Google Play Store. Basicamente, a Google Play Core Library é um portal para interagir com o Google Play Services de dentro do próprio aplicativo, começando com o carregamento dinâmico de código (como baixar níveis adicionais apenas quando necessário), para entregar recursos específicos de localidade e interagir com mecanismos de revisão da Google Play.

    Em agosto, a OverSecured descobriu a vulnerabilidade CVE-2020-8913, classificada como alta e corrigida na Google Play Core Library versão 1.7.2. Desde a publicação desta vulnerabilidade, a Check Point começou a monitorar aplicativos vulneráveis. Durante o mês de setembro, a empresa descobriu que 13% dos aplicativos da Google Play usaram essa biblioteca, sendo que 8% desses aplicativos tinham uma versão vulnerável.

    A Check Point publicou vídeo demonstrando como essa vulnerabilidade é fácil de explorar. "Tudo o que você precisa fazer é criar um aplicativo 'hello world' que chama a intenção exportada no aplicativo vulnerável para enviar um arquivo para a pasta de arquivos verificados".

    Veja a lista de aplicativos vulneráveis*:

    Nome

    Versão

    Aloha

    2.23.0

    Walla! Sports

    1.8.3.1

    XRecorder

    1.4.0.3

    Hamal

    2.2.2.1

    IndiaMART

    12.7.4

    Edge

    45.09.4.5083

    Yango Pro (Taximeter)

    9.56

    PowerDirector

    7.5.0

    OkCupid

    47.0.0

     

    *Alguns aplicativos originalmente listados pela Check Point foram retirados da lista após aviso de atualização.

    Fonte: Check Point


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...