In rund 8 Prozent aller im offiziellen Google Play Store erhältlichen Apps steckt eine Sicherheitslücke. Das ist das Ergebnis einer Analyse von Check Point. Auslöser ist eine veraltete Version einer weit verbreiteten Java-Bibliothek namens Play Core. Sie wird von Google bereitgestellt und ermöglicht Interaktionen zwischen Apps und dem Play Store.
Die fragliche Schwachstelle mit der Kennung CVE-2020-8913 wurde bereits im Februar 2020 von Forschern des Sicherheitsanbieters Oversecured entdeckt. Sie erlaubte es, schädlichen Code in andere Apps einzufügen, um beispielsweise deren vertrauliche Daten wie Passwörter, Fotos oder gar Codes für eine Anmeldung in zwei Schritten zu stehlen. Einen Angriff zeigten die Forscher auch in einem Video.
Mit der Version Play Core 1.7.2 stellte Google im März einen Patch bereit. Seitdem haben es einige App-Anbieter laut Check Point jedoch versäumt, die in ihren Apps integrierte Play-Core-Bibliothek zu aktualisieren.
Ihre Scans führten die Forscher bereits im September durch. Zu dem Zeitpunkt setzten 13 Prozent aller Apps Play Core ein, allerdings nur 5 Prozent aller Apps verfügten auch über eine aktuelle und somit sichere Version. Anschließend informierten die Forscher die betroffenen Entwickler über ihr Versäumnis. Drei Monate später hatten ihnen zufolge allerdings nur zwei App-Anbieter reagiert und ihre Apps aktualisiert: Viber und Booking.com.
Zu den Apps, die auch Anfang Dezember noch keinen Patch enthielten, gehören auch solche mit mehr als 100 Millionen Downloads. Andere bringen es auf 10 Millionen und mehr Installationen. Auf ein Update sollten unter anderem Nutzer der Apps XRecorder, Moovit, Grindr, Microsoft Edge, Cyberlink PowerDirector, OKCupid und Cisco Teams warten.
„Wie unser Demo-Video zeigt, ist diese Schwachstelle extrem leicht auszunutzen“, erklärten die Forscher. Hacker müssten lediglich eine eigene App entwickeln, die anschließend den Fehler in einer anfälligen App ausnutzte, um eine Datei in einem Ordner abzulegen, der nur für geprüfte Inhalte vorgesehen sei.
Die Analyse von CheckPoint zeigt, dass Nutzer sich leider nicht darauf verlassen können, dass eine aktuelle App zumindest zum Zeitpunkt ihrer Veröffentlichung auch wirklich sicher und frei von bekannten Sicherheitslücken ist. Allerdings betrifft das Problem nicht nur Bibliotheken, sondern jeglichen Code, den Entwickler von Dritten übernehmen, ohne regelmäßig zu prüfen, ob dieser Code von seinem Entwickler aktualisiert wurde.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…