GooglePlay核心库曝漏洞 用户应用程序被攻击

Google Play核心库允许Android开发人员在运行时通过Google API向其应用程序提供更新，而无需用户进行交互。

该库可用于下载其他语言资源，管理功能模块和资产包的交付方式，触发应用程序内更新等。Google Chrome，Facebook，Snapchat和WhatsApp只是使用此库的一些应用程序。

该漏洞被跟踪为CVE-2020-8913，并于2020年3月得到解决，它是一种遍历路径，可能导致本地代码执行（LCE）“在任何具有易受攻击的Google Play核心库版本的应用程序范围内”，点说明。

根据提供此安全漏洞技术细节的Oversecured的说法，该漏洞可能使攻击者滥用该库来将可执行模块交付给应用程序，从而实质上导致这些模块内的任意代码执行。

“受害人的设备上安装了恶意软件应用程序的攻击者可以窃取用户的登录详细信息，密码和财务详细信息，并阅读他们的邮件，”过度安全的笔记指出。

除了上述路径遍历之外，攻击还依赖于两种功能的组合：一种是将应用程序从Google Play接收的所有文件都放置在应用程序沙箱中的经过验证的文件夹中，另一种是其他来源可以将文件推送到该功能中沙箱。

通常，推送的文件被放置在“未验证”的文件夹中，而不是由库处理，但是所述路径遍历允许攻击者在其恶意应用程序中提供路径，以便将其恶意文件写入“已验证”夹。

因此，不仅文件会由Google Play Core库自动加载并执行，而且在给定存储文件夹的情况下，以后也不会再进行验证。

关于此缺陷的主要担心在于，尽管一个月前发布了补丁，但许多软件开发人员尚未在其应用程序中实现它。Check Point进行的分析显示，有13％的Google Play应用程序使用了该库，其中8％的版本有漏洞。

被发现容易受到攻击的某些应用程序包括Viber，Booking，Cisco Teams，Moovit，Grindr和OKCupid，它们在Check Point与开发人员联系以将问题通知开发人员后进行了修补。但是，Edge，PowerDirector，Xrecorder和Yango Pro（测油计）等应用仍然容易受到攻击。