Une vulnerabilite dans la bibliotheque Google Play Core n’est forcement gui?re corrigee au sein des applications Google Play

Une vulnerabilite dans la bibliotheque Google Play Core n’est forcement gui?re corrigee au sein des applications Google Play

decembre 2020 via Check Point

D’innombrables applications Android toujours vulnerables a votre bug majeur, mettant en danger des centaines de millions d’utilisateurs. De multiples applications sur le Play Store de Google sont encore vulnerables a 1 bug connu, CVE-2020-8913, qui permet aux acteurs en menace d’injecter du code malveillant dans des applications vulnerables, afin d’acceder a l’ensemble des memes ressources de l’application d’hebergement. Mes acteurs en menace vont pouvoir se servir de les applications vulnerables pour usurper des informations sensibles d’autres applications sur le aussi appareil, en volant les informations privees des utilisateurs, telles que des details de connexion, les mots de passe, les details financiers et le courrier.

• J’ai faille de securite trouve son origine dans la bibliotheque Play Core de Google, tres utilisee, qui permet a toutes les developpeurs d’integrer des mises a jour et de nouveaux modules de fonctionnalites a leurs applications Android • Google a corrige sa faille en avril 2020, mais les developpeurs eux-memes doivent installer la nouvelle bibliotheque Play Core Dans l’optique de faire disparaitre completement la menace • Mes chercheurs de Check Point ont selectionne au hasard un certain nombre d’applications de premier plan pour confirmer l’existence d’une vulnerabilite CVE-2020-8913. Vulnerabilite confirmee dans Grindr, Bumble, OKCupid, Cisco Teams, Moovit, Yango Pro, Edge, Xrecorder, PowerDirector • Des chercheurs de Check Point demontrent l’exploitation d’la vulnerabilite de l’application Google Chrome d’Android

Vue d’ensemble : Une nouvelle vulnerabilite dans la bibliotheque Google Play Core fut publiee fin aout, qui permet l’execution locale de code (Local-Code-Execution, LCE) dans le contexte de toute application qui utilise la version vulnerable d’une bibliotheque Google Play Core. Dans votre document, nous analysons l’impact et l’ampleur de cette vulnerabilite du angle d’approche de la securite.

Contexte : Qu’est-ce que la bibliotheque Google Play Core ? Tire en documentation de developpement Android de Google :

La bibliotheque Play Core Library est l’interface d’execution de votre application avec Google Play Store. Voici quelques-unes des actions que vous pouvez effectuer avec Google Play Core : • Telecharger des ressources linguistiques supplementaires • Gerer J’ai fourniture de modules de fonctionnalites • Gerer Notre fourniture de packs de ressources • Declencher des mises a jour au sein d’ l’application • Demander des sudy avis depuis l’application

Ainsi, la bibliotheque Google Play Core est une passerelle permettant d’interagir au milieu des services Google Play depuis l’application elle-meme, a commencer via le chargement de code dynamique (tel le telechargement de niveaux supplementaires en cas de besoin uniquement), la fourniture de ressources localisees bien precis et l’interaction avec les mecanismes d’avis de Google Play.

Beaucoup de applications populaires utilisent une telle bibliotheque, principalement : • Google Chrome • Facebook • Instagram • WhatsApp • SnapChat • Booking • Edge

Facebook et Instagram constituent a eux seuls 5 milliards et 1 milliard de telechargements respectivement a votre jour depuis Google Play Store. Imaginez le nombre d’appareils qui ont ete touches avec cette vulnerabilite.

Qu’est-ce que CVE-2020-8913 ?

OverSecured a deja presente nos aspects techniques de une telle vulnerabilite. Pour une analyse technique plus approfondie, veuillez vous referer a son blog. Un bref apercu : Dans Notre sandbox de chaque application, Il est 2 dossiers : votre pour nos fichiers « verifies » recus de Google Play, et un autre pour les fichiers « non verifies ». Mes fichiers telecharges depuis les services Google Play vont au dossier verifie, tandis que les fichiers telecharges d’autres sources seront envoyes dans le dossier non verifie. Lorsqu’un fichier est ecrit dans le dossier verifie, il interagit avec la bibliotheque Google Play Core qui le charge et l’execute.

Une intention exportee est une autre fonctionnalite qui permet a d’autres sources de pousser des fichiers dans la sandbox de l’application. Il est cependant des limitations : le fichier est pousse au dossier non verifie, et il n’est gui?re directement traite par la bibliotheque. J’ai vulnerabilite reside dans la combinaison des deux fonctionnalites mentionnees ci-dessus, et utilise egalement la traversee de fichiers, un concept aussi vieux qu’Internet lui-meme. Lorsqu’une source tierce pousse un fichier dans une autre application, elle doit fournir un chemin d’acces afin que le fichier puisse etre ecrit. Lorsqu’un pirate utilise la traversee de fichiers (../verified_splits/mon_code_malveillant.apk), le code malveillant est ecrit dans le dossier verifie, ainsi, est directement charge dans l’application vulnerable et execute dans son contexte.

Google a corrige une telle vulnerabilite le 6 avril 2020.

Impact et ampleur : Quand nous combinons des applications populaires qui utilisent la bibliotheque Play Core de Google et la vulnerabilite d’execution locale de code, nous pouvons franchement voir les risques. Lorsqu’une application malveillante exploite cette vulnerabilite, elle est en mesure de executer du code dans des applications populaires et beneficier du meme acces que l’application vulnerable.

Mes possibilites ne sont limitees que via notre creativite. Voici certains exemples : • Injection de code dans des applications bancaires pour s’emparer des identifiants, ainsi, en meme moment beneficier des autorisations sur les SMS Afin de voler des codes d’authentification a deux facteurs (2FA). • Injection de code dans des applications d’entreprise pour acceder aux ressources de l’entreprise. • Injection de code dans des applications de reseaux sociaux pour espionner la victime, ainsi, choisir l’acces a la geolocalisation pour suivre l’appareil. • Injection de code dans des applications de messagerie instantanee pour capturer tous les messages, ainsi, eventuellement envoyer des messages au nom d’une victime.

Comme Notre vulnerabilite a ete corrigee en avril, pourquoi s’inquieter maintenant ? Notre reponse est que les developpeurs doivent pousser le correctif dans leurs applications. Contrairement a toutes les vulnerabilites cote serveur, qui peuvent etre entierement corrigees une fois que le correctif reste applique concernant le serveur, pour les vulnerabilites cote client, chaque developpeur doit utiliser la derniere version de la bibliotheque et l’inserer dans son application.

Le facteur humain etant l’un des plus difficiles a surmonter en matiere de securite, nous avons decide de determiner quelles applications ont corrige la vulnerabilite et lesquelles paraissent encore vulnerables, afin d’avoir une meilleure comprehension globale de l’ampleur d’la vulnerabilite. Depuis la publication de une telle vulnerabilite, nous avons commence a surveiller les applications vulnerables.

Lors du mois de septembre 2020, 13 % des applications Google Play analysees par SandBlast Mobile utilisaient votre bibliotheque, et 8 % des applications comprenaient une version vulnerable.

Nous avons egalement compare les versions de septembre aux versions actuelles sur Google Play pour voir quelles applications etaient encore concernees. A notre grande surprise, nous avons decouvert une grande variete d’applications : • Social – Viber • Voyage – Booking • Entreprises – Cisco Teams • Cartes et navigation – Yango Pro (Taximetre), Moovit • Rencontres – Grindr, OKCupid, Bumble • Navigateurs – Edge • Utilitaires – Xrecorder, PowerDirector