Grindr和其他补丁关键的Android错误
Android移动应用程序开发人员包括在世界上一些最突出的约会应用程序中的那些,一直急于将延迟补丁应用于Google Play核心库中的临界缺陷 - 推动应用更新和新功能过程中的关键元素生活 - 可能留下了数百万的移动用户暴露于妥协。
问题中的错误CVE-2020-8913是一个本地任意代码执行漏洞,它可能让攻击者创建Anandroid包套件(APK),该应用程序瞄准一个应用程序,使其能够将代码执行为目标应用,并最终访问目标的用户数据。
它在2020年之前由谷歌修补,但由于它是客户端漏洞,而不是服务器端漏洞,除非App开发人员更新他们的播放核心库,否则它无法在野外缓解。
上周,检查点的研究人员揭示了许多流行的应用程序仍然开放,以开发CVE-2020-8913,并告知他们背后的公司。
未分割的应用程序包括预订,Bumble,Cisco团队,Microsoft Edge,Grindr,Okcupid,Moovit,PowerDirector,Viber,XRecorder和Yango Pro。在他们之间,这些应用程序已累计超过800,000,000次下载,并且肯定会受到更多影响。在那些,Grindr,预订,思科团队,Moovit和Viber现在已经确认了这个问题已得到解决。
Grindr Spokesperson每周告诉计算机:“我们非常感谢那些带来脆弱性的研究人员。在脆弱性引起的同一天,我们的团队迅速发出了一个修补程序来解决这个问题。
“正如我们了解它,为了让这种漏洞已被剥削,用户必须被欺骗将恶意应用程序下载到他们的手机上,专门定制以利用Grindr应用程序。
“作为我们致力于提高我们服务的安全和安全的一部分,我们与一个领先的安全公司Hackerone合作,简化和改善了安全研究人员的能力,以报告这些问题。我们提供了一个轻松的漏洞,由我们的安全团队直接监控的Hackerone。
“我们将继续加强我们的实践,以主动解决这些和类似的问题,因为我们继续我们对用户的承诺,”他们说。
Aviran Hazum,Check Point的移动研究经理表示,估计数亿个Android所有者仍然存在风险。
“漏洞CVE-2020-8913非常危险,”Hazum说。“如果恶意应用程序利用此漏洞,它可以在流行的应用程序内获得代码执行,从而获得与易受攻击的应用程序相同的访问。例如,该漏洞可以允许威胁演员窃取双因素认证代码或将代码注入到银行应用程序中以抓取凭证。
“或威胁演员可以将代码注入社交媒体应用程序,以间谍受害者或将代码注入所有信息以获取所有消息的应用程序。这里的攻击可能性仅受到威胁演员的想象力的限制,“Hazum说。