Данила Гаращенко  3 554 0

Уязвимость в Android позволяла приложениям скачивать личные данные

Из-за ошибки в безопасности вредоносные приложения могли скачивать конфиденциальные данные других приложений.

Уязвимость в Android позволяла приложениям скачивать личные данные
Стартап по обеспечению безопасности в приложениях Oversecured обнаружил уязвимость в Android, позволяющую вредоносным приложениям скачивать конфиденциальные данные из других приложений на том же устройстве.

Ошибка была замечена в широко используемой библиотеке Google Play Core, с помощью которой разработчики загружают обновления и новые функциональные модули в приложения на Android. Например, языковые пакеты или новые уровни игры.

Вредоносное приложение, установленное на Android-устройстве, может использовать уязвимость в базе для внедрения модулей в другие приложения и получать конфиденциальную информацию, включая пароли и номера кредитных карт.

В Oversecured создали экспериментально приложение и протестировали уязвимость на Chrome с библиотекой Play Core. В итоге приложение получило доступ к истории просмотров, паролям и файлам cookie.

Google была осведомлена об ошибке:

Мы признательны исследователю, который сообщил нам об этой проблеме, и в результате она была исправлена ​​в марте.

Для устранения уязвимости достаточно обновить библиотеку до последней версии. Примечательно, что основатель стартапа, Сергей Тошин, выходец из России.