Google closed in April a very dangerous flaw in a software library for Android, but many developers have not yet updated the apps
Eight hundred and fifty million: so many are the downloads collected so far all over the world, including Italy, from the 14 risky apps discovered by the cybersecurity company Check Point Technologies. The risk is actually indirectly caused by the apps themselves: what's dangerous is a Google software library used by these apps.
To be precise, it's the Play Core Library, which acts as an interface between the app and the Play Store. The security flaw contained in this app, named CVE-2020-8913, allows a malware possibly downloaded by the user to easily access a large amount of data stored on the smartphone and send it to a hacker. By exploiting CVE-2020-8913 it is also possible to inject malicious code into official and legitimate apps, such as banking apps, with the obvious consequence that those who know how to exploit the flaw can steal our bank account credentials. They can also track our movements, access our social profiles, read all our messages. For all these reasons, the vulnerability has been given a dangerousness score of 8.8 out of 10.
Why the 14 apps are dangerous
Check Point points out that this security flaw was made known on August 28, 2020, the day from which all developers are more than aware of its dangerousness. But that's not all: the flaw has also already been closed by Google, which released a new secure version of Play Core Library as far back as April.
Why, then, does Check Point come out in December 2020 with a press release saying that there are 14 dangerous apps that have already totaled 850 million downloads? Perché queste app usano ancora la versione vecchia e non sicura di Play Core Library.
Come spesso capita, in casi del genere, le società di cybersicurezza evitano di svelare i dettagli delle vulnerabilità fintanto che le patch di sicurezza (o le nuove librerie, in questo caso) non vengono rilasciate. Il problema, però, è quando patch e librerie ci sono ma gli sviluppatori tardano ad integrarle nelle loro app. Ed è proprio questo il caso.
Quali sono le app pericolose
In casi come quello appena descritto la società di cybersicurezza “forza la mano" e rende pubbliche le app pericolose, al fine di costringere gli sviluppatori ad aggiornarle per metterle in sicurezza. E, infatti, a poche ore dal comunicato stampa di Check Point alcune delle app sono state aggiornate.
Check Point, in ogni caso, non ha rivelato i nomi di tutte le app. Ma di alcuni sì e si tratta di app famosissime e diffusissime:
- Viber (aggiornata subito prima della pubblicazione del comunicato stampa)
- Booking (aggiornata subito prima della pubblicazione del comunicato stampa)
- Cisco Teams (aggiornata dopo la pubblicazione del comunicato stampa)
- Yango Pro (aggiornata dopo la pubblicazione del comunicato stampa)
- Moovit (aggiornata dopo la pubblicazione del comunicato stampa)
- Grindr (aggiornata dopo la pubblicazione del comunicato stampa)
- OKCupid (aggiornata dopo la pubblicazione del comunicato stampa)
- Edge
- Xrecorder
- PowerDirector
Le ultime tre non risultano ancora aggiornate e, di conseguenza, sono pericolose. Chi ha una di queste app, quindi, dovrebbe correre ad aggiornarla al fine di chiudere la pericolosissima falla derivante da Play Core Library.