8 Prozent aller Apps im Play Store anfällig für alte Sicherheitslücke

In rund 8 Prozent aller im offiziellen Google Play Store erhältlichen Apps steckt eine Sicherheitslücke. Das ist das Ergebnis einer Analyse von Check Point. Auslöser ist eine veraltete Version einer weit verbreiteten Java-Bibliothek namens Play Core. Sie wird von Google bereitgestellt und ermöglicht Interaktionen zwischen Apps und dem Play Store.

Mithilfe der Bibliothek lassen sich Updates herunterladen und installieren, aber auch weitere Module oder Sprachpakete. Selbst weitere Apps lassen sich über Play Core aus der eigenen App heraus downloaden.

Die fragliche Schwachstelle mit der Kennung CVE-2020-8913 wurde bereits im Februar 2020 von Forschern des Sicherheitsanbieters Oversecured entdeckt. Sie erlaubte es, schädlichen Code in andere Apps einzufügen, um beispielsweise deren vertrauliche Daten wie Passwörter, Fotos oder gar Codes für eine Anmeldung in zwei Schritten zu stehlen. Einen Angriff zeigten die Forscher auch in einem Video.

Mit der Version Play Core 1.7.2 stellte Google im März einen Patch bereit. Seitdem haben es einige App-Anbieter laut Check Point jedoch versäumt, die in ihren Apps integrierte Play-Core-Bibliothek zu aktualisieren.

Ihre Scans führten die Forscher bereits im September durch. Zu dem Zeitpunkt setzten 13 Prozent aller Apps Play Core ein, allerdings nur 5 Prozent aller Apps verfügten auch über eine aktuelle und somit sichere Version. Anschließend informierten die Forscher die betroffenen Entwickler über ihr Versäumnis. Drei Monate später hatten ihnen zufolge allerdings nur zwei App-Anbieter reagiert und ihre Apps aktualisiert: Viber und Booking.com.

Zu den Apps, die auch Anfang Dezember noch keinen Patch enthielten, gehören auch solche mit mehr als 100 Millionen Downloads. Andere bringen es auf 10 Millionen und mehr Installationen. Auf ein Update sollten unter anderem Nutzer der Apps XRecorder, Moovit, Grindr, Microsoft Edge, Cyberlink PowerDirector, OKCupid und Cisco Teams warten.

„Wie unser Demo-Video zeigt, ist diese Schwachstelle extrem leicht auszunutzen“, erklärten die Forscher. Hacker müssten lediglich eine eigene App entwickeln, die anschließend den Fehler in einer anfälligen App ausnutzte, um eine Datei in einem Ordner abzulegen, der nur für geprüfte Inhalte vorgesehen sei.

Die Analyse von CheckPoint zeigt, dass Nutzer sich leider nicht darauf verlassen können, dass eine aktuelle App zumindest zum Zeitpunkt ihrer Veröffentlichung auch wirklich sicher und frei von bekannten Sicherheitslücken ist. Allerdings betrifft das Problem nicht nur Bibliotheken, sondern jeglichen Code, den Entwickler von Dritten übernehmen, ohne regelmäßig zu prüfen, ob dieser Code von seinem Entwickler aktualisiert wurde.