Categories: MobileMobile Apps

8 Prozent aller Apps im Play Store anfällig für alte Sicherheitslücke

In rund 8 Prozent aller im offiziellen Google Play Store erhältlichen Apps steckt eine Sicherheitslücke. Das ist das Ergebnis einer Analyse von Check Point. Auslöser ist eine veraltete Version einer weit verbreiteten Java-Bibliothek namens Play Core. Sie wird von Google bereitgestellt und ermöglicht Interaktionen zwischen Apps und dem Play Store.

Mithilfe der Bibliothek lassen sich Updates herunterladen und installieren, aber auch weitere Module oder Sprachpakete. Selbst weitere Apps lassen sich über Play Core aus der eigenen App heraus downloaden.

Die fragliche Schwachstelle mit der Kennung CVE-2020-8913 wurde bereits im Februar 2020 von Forschern des Sicherheitsanbieters Oversecured entdeckt. Sie erlaubte es, schädlichen Code in andere Apps einzufügen, um beispielsweise deren vertrauliche Daten wie Passwörter, Fotos oder gar Codes für eine Anmeldung in zwei Schritten zu stehlen. Einen Angriff zeigten die Forscher auch in einem Video.

Mit der Version Play Core 1.7.2 stellte Google im März einen Patch bereit. Seitdem haben es einige App-Anbieter laut Check Point jedoch versäumt, die in ihren Apps integrierte Play-Core-Bibliothek zu aktualisieren.

Ihre Scans führten die Forscher bereits im September durch. Zu dem Zeitpunkt setzten 13 Prozent aller Apps Play Core ein, allerdings nur 5 Prozent aller Apps verfügten auch über eine aktuelle und somit sichere Version. Anschließend informierten die Forscher die betroffenen Entwickler über ihr Versäumnis. Drei Monate später hatten ihnen zufolge allerdings nur zwei App-Anbieter reagiert und ihre Apps aktualisiert: Viber und Booking.com.

Zu den Apps, die auch Anfang Dezember noch keinen Patch enthielten, gehören auch solche mit mehr als 100 Millionen Downloads. Andere bringen es auf 10 Millionen und mehr Installationen. Auf ein Update sollten unter anderem Nutzer der Apps XRecorder, Moovit, Grindr, Microsoft Edge, Cyberlink PowerDirector, OKCupid und Cisco Teams warten.

„Wie unser Demo-Video zeigt, ist diese Schwachstelle extrem leicht auszunutzen“, erklärten die Forscher. Hacker müssten lediglich eine eigene App entwickeln, die anschließend den Fehler in einer anfälligen App ausnutzte, um eine Datei in einem Ordner abzulegen, der nur für geprüfte Inhalte vorgesehen sei.

Die Analyse von CheckPoint zeigt, dass Nutzer sich leider nicht darauf verlassen können, dass eine aktuelle App zumindest zum Zeitpunkt ihrer Veröffentlichung auch wirklich sicher und frei von bekannten Sicherheitslücken ist. Allerdings betrifft das Problem nicht nur Bibliotheken, sondern jeglichen Code, den Entwickler von Dritten übernehmen, ohne regelmäßig zu prüfen, ob dieser Code von seinem Entwickler aktualisiert wurde.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

13 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago