Imagen: Jack Wallen

Muchas aplicaciones y productos que enfrentan una vulnerabilidad de seguridad a menudo requieren dos respuestas para mitigar completamente la falla. En primer lugar, es posible que el proveedor deba lanzar un parche para corregir la debilidad del lado del servidor por su parte. Pero es posible que el usuario o el desarrollador de la aplicación deba aplicar este parche en el lado del cliente. Sin esta segunda acción, los productos siguen estando en riesgo.

Reportado por primera vez a fines de agosto por investigadores de Oversecured y luego analizado por el proveedor de inteligencia de amenazas cibernéticas Check Point, una falla reciente que afecta a varias aplicaciones de Android apunta a este dilema de parches.

VER: Los mejores consejos de seguridad de Android (PDF gratuito) (República Tecnológica)

En su informe del jueves "La vulnerabilidad de la biblioteca principal de Google Play permanece sin parches en las aplicaciones de Google Play", Check Point describe una vulnerabilidad en la biblioteca principal de Google Play, una función utilizada por las aplicaciones para permitir actualizaciones incorporadas, revisiones en la aplicación, paquetes de funciones adicionales. y paquetes de idiomas adicionales. Muchas aplicaciones populares usan esta biblioteca, incluidas Google Chrome, Facebook, Instagram, WhatsApp y Snapchat.

Si se explota, la falla podría permitir que un atacante inyecte código malicioso en una aplicación para robar credenciales de inicio de sesión, códigos de autenticación de dos factores y mensajes de texto. Los ciberdelincuentes inteligentes también podrían inyectar código en aplicaciones corporativas para acceder a recursos corporativos y aplicaciones de redes sociales para espiar al usuario. Google reparó este agujero el 6 de abril de 2020. Pero a partir de la fecha de publicación del informe de Check Point, varios desarrolladores aún tienen que aplicar el parche en el lado del cliente.

Algunas de las aplicaciones afectadas analizadas por Check Point incluyen Viber, Booking, Cisco Teams, Yango Pro (taxímetro), Moovit, Grindr, OKCupid, Microsoft Edge, Xrecorder y PowerDirector. Después de alertar a los desarrolladores de estas aplicaciones sobre la falla, las aplicaciones Viber y Booking ya han sido parcheadas, según Check Point. Portavoces separados de Moovit, Grindr y Viber dijeron a TechRepublic que sus aplicaciones también han sido parcheadas.

"El mismo día que nos llamó la atención sobre la vulnerabilidad, nuestro equipo lanzó rápidamente un parche para abordar el problema", dijo el portavoz de Grindr. "Entendemos que para explotar esta vulnerabilidad, un usuario debe haber sido engañado para que descargue una aplicación maliciosa en su teléfono que fue diseñada específicamente para explotar la aplicación Grindr. Como parte de nuestro compromiso de mejorar la seguridad de nuestro servicio, nos hemos asociado con HackerOne, una empresa líder en seguridad, para simplificar y mejorar la capacidad de los investigadores de seguridad para informar problemas como estos.

Con las fallas del lado del servidor, la debilidad se corrige automáticamente una vez que el proveedor aplica el parche apropiado. Pero con fallas del lado del cliente como las que se encuentran en estas aplicaciones de Android, el desarrollador debe descargar la última versión de la biblioteca Play Core de Google e insertarla en la aplicación afectada.

Para demostrar cómo se podría explotar esta falla, Check Point dijo que sus investigadores usaron una versión vulnerable del navegador Google Chrome y crearon una carga útil dedicada para capturar sus marcadores. Una vez que la carga útil se inyecta en Chrome, el atacante tendría el mismo acceso que el navegador a datos como cookies, historial, marcadores e incluso el administrador de contraseñas de la aplicación. En este caso, alguien podría recopilar cookies para secuestrar una sesión con un servicio de terceros como Dropbox.

Infografía que muestra la cadena de ataque.
Imagen: Punto de control

“Estimamos que cientos de millones de usuarios de Android están en riesgo de seguridad”, dijo el jefe de investigación móvil de Check Point, Aviran Hazum, en un comunicado de prensa. "Aunque Google implementó un parche, muchas aplicaciones todavía usan bibliotecas Play Core desactualizadas. La vulnerabilidad CVE-2020-8913 es muy peligrosa. Si una aplicación maliciosa aprovecha esta vulnerabilidad, puede obtener la ejecución de código en aplicaciones populares, obteniendo el mismo acceso como la aplicación vulnerable.

Se recomienda a todos los desarrolladores de aplicaciones de Android que utilizan la biblioteca Play Core de Google que actualicen Play Core a la versión 1.7.2 o posterior. Los usuarios de Android deberían considerar instalar un software de seguridad en su dispositivo. Naturalmente, Check Point recomienda su propia aplicación SandBlast Mobile, pero encontrará otras aplicaciones de seguridad en Google Play de varios proveedores confiables y de buena reputación.

Nota del editor: este artículo ha sido actualizado.