Ошибка была замечена в широко используемой библиотеке Google Play Core, с помощью которой разработчики загружают обновления и новые функциональные модули в приложения на Android. Например, языковые пакеты или новые уровни игры.

Вредоносное приложение, установленное на Android-устройстве, может использовать уязвимость в базе для внедрения модулей в другие приложения и получать конфиденциальную информацию, включая пароли и номера кредитных карт.

В Oversecured создали экспериментально приложение и протестировали уязвимость на Chrome с библиотекой Play Core. В итоге приложение получило доступ к истории просмотров, паролям и файлам cookie.

Google была осведомлена об ошибке:

Мы признательны исследователю, который сообщил нам об этой проблеме, и в результате она была исправлена ​​в марте.

Для устранения уязвимости достаточно обновить библиотеку до последней версии. Примечательно, что основатель стартапа, Сергей Тошин, выходец из России.