CVE-2020-8913 nedeniyle yüz milyonlarca Android kullanıcısı saldırıya maruz kaldı. Yüz milyonlarca Android kullanıcısı, CVE-2020-8913’e karşı savunmasız Android Play Core Library sürümlerinin kullanılması nedeniyle potansiyel olarak hacklenme riskine maruz kalıyor.
Bir tehdit aktörü, belirli bir uygulamayı hedef alan bir apk oluşturabilir. Apk yüklendikten sonra saldırgan, kodun hedeflenen uygulama olarak çalıştırılması ve kurbanların Android cihazlarında hedeflenen uygulamanın verilerine erişilmesi dahil olmak üzere çok çeşitli kötü amaçlı etkinlikler gerçekleştirebilir.
Kötü olan şu ki, birçok popüler Android uygulaması hala Google’ın uygulama güncelleme kitaplığının CVE-2020-8913 kusurundan etkilenen sürümlerini kullanıyor ve milyonlarca kullanıcı potansiyel olarak bir siber saldırı riski altında.
CVE-2020-8913 nedeniyle Android kullanıcıları saldırıya maruz kaldı
Viber, Meetup, Cisco, Grindr, Moovit, Cisco Teams ve Booking.com gibi bazı popüler uygulamaların arkasındaki geliştirme ekipleri, Check Point tarafından bilgilendirildikten sonra uygulamalarındaki kitaplığı güncelledi.
“Güvenlik açığı Nisan ayında düzeltildiğine göre, neden şimdi endişelenmek için bir neden var? Cevap, yamanın geliştiriciler tarafından uygulamaya itilmesi gerektiğidir. Yama sunucuya uygulandıktan sonra güvenlik açığının tamamen yamalandığı sunucu tarafı güvenlik açıklarının aksine, istemci tarafı güvenlik açıkları için her geliştiricinin kitaplığın en son sürümünü alması ve uygulamaya eklemesi gerekir. “
Play Core Kitaplığı, uygulamanın Google Play Store ile çalışma zamanı arayüzüdür. Ek dil kaynaklarını indirmeye, özellik modüllerinin sunumunu yönetmeye, varlık paketlerinin sunumunu yönetmeye, uygulama içi güncellemeleri tetiklemeye, uygulama içi incelemeleri talep etmeye izin verir.
Bu nedenle, temel olarak, Google Play Çekirdek Kitaplığı, dinamik kod yüklemeden (yalnızca gerektiğinde ek düzeyler indirmek gibi) başlayarak yerel ayara özgü kaynaklar sunmaya ve etkileşim kurmaya kadar uygulamanın kendi içinden Google Play Hizmetleri ile etkileşim kurmak için bir ağ geçididir.
Kusur ilk olarak Oversecured’ten araştırmacılar tarafından belgelendi
“Daha fazla dikkatli araştırmanın ardından, doğrulanmış bölmeler klasörünün, gelecekte artık doğrulanmayan mevcut uygulamanın imzasına sahip doğrulanmış uygulamalar içerdiği ortaya çıktı. Bu klasördeki bir dosya bir yapılandırma ile başladığında önek, uygulamanın çalışma zamanı ClassLoader’a otomatik olarak eklenecektir. “Oversecured” tarafından yayınlanan analizi okur.
“Bu zayıflığı kullanarak saldırgan, örneğin Parcelable arabirim ve kötü amaçlı kod içeren ve örneklerini etkilenen uygulamaya göndererek, createFromParcel (…) yönteminin seriyi kaldırma sırasında yerel kod yürütülmesine yol açan bağlamında çalıştırılacağı anlamına gelir. ”
Bu kusurdan başarılı bir şekilde yararlanmanın etkisi ve büyüklüğü çok ciddidir. Saldırganlar kimlik bilgilerini almak için bankacılık uygulamalarına kod enjekte edebilir. Aynı zamanda iki faktörlü kimlik doğrulama (2FA) kodlarını çalmak için SMS izinlerine sahip olabilir. Sohbet uygulamaları, kullanıcıların konumlarını gözetleme ve kurumsal uygulamalara müdahale etme gibi.
Check Point’ten araştırmacılar, 2020 Eylül ayında analiz edilen Google Play uygulamalarının %13’ünün %8’inin kütüphanenin savunmasız bir varyantını çalıştırdığını bildirdi. Araştırmacılar ayrıca, tarayıcıda depolanan yer imlerini çalmak için Google Chrome uygulamasının savunmasız bir sürümünün nasıl kullanılacağını gösteren bir kavram kanıtı yayınladılar.
Check Point Mobil Araştırma Müdürü Aviran Hazum, “Yüz milyonlarca Android kullanıcısının güvenlik riski altında olduğunu tahmin ediyoruz” dedi. “Google bir yama uygulamasına rağmen, birçok uygulama hala eski Play Core kitaplıklarını kullanıyor. CVE-2020-8913 güvenlik açığı oldukça tehlikelidir [ve] buradaki saldırı olasılıkları yalnızca bir tehdit aktörünün hayal gücüyle sınırlıdır.”
Bir başka makale: Windows 10 Klasöre Parola Koyma Nasıl Yapılır?
