Forscher warnen vor teils noch ungefixter Schwachstelle in diversen Android-Apps

Die ehemals verwundbare, durch Google bereits im März reparierte Play Core-Library wurde durch manche App-Entwickler (noch) nicht aktiv aktualisiert.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen

(Bild: BongkarnGraphic/Shutterstock.com)

Update
Lesezeit: 4 Min.

Bereits im März dieses Jahres hat Google die Schwachstelle CVE-2020-8913 aus der Programmbibliothek Play Core beseitigt. Die mit der Risikoeinstufung "hoch" (CVSS-Score 8.8) bewertete Schwachstelle in Play Core-Versionen vor 1.7.2 erlaubte Angreifern die Ausführung beliebigen Programmcodes im Kontext verwundbarer Apps sowie den Zugriff auf App-Daten. Das Unternehmen Check Point warnt nun allerdings davor, dass viele App-Entwickler die Bibliotheksversionen in den von ihnen via Google Play bereitgestellten Anwendungen nicht aktualisiert hätten – und dass die Angriffsmöglichkeiten damit weiterbestünden.

Über aktive Exploits ist bislang nichts bekannt; auch setzt ein Angriff via CVE-2020-8913 die Installation und das Starten einer (zusätzlichen) schädlichen App auf dem Zielgerät voraus. Allerdings haben die Lückenentdecker bereits Ende August Proof-of-Concept-Code veröffentlicht.

Die Google Play Core-Library dient Programmierern als Schnittstelle zwischen ihren Apps und dem Play Store – etwa um aus einer App heraus Aktualisierungen oder sonstige Ressourcen aus dem Store nachzuladen oder um mit den Bewertungs-Mechanismen zu interagieren. Daher dürfte die ursprüngliche Zahl verwundbarer Apps sehr groß gewesen sein.

Check Points aktueller Blogeintrag zu CVE-2020-8913 liefert wiederum eine eher überschaubare Auflistung von Apps, die laut den Analysen des Teams bis vor kurzem noch verwundbar waren und es zum Teil möglicherweise auch noch sind. Darunter befinden sich durchaus bekannte und beliebte Anwendungen wie die Booking.com-App, Microsofts Edge-Browser für Android, der Viber Messenger oder Cisco Teams.

Anwender sollten einen Blick auf Check Points Auflistung verwundbarer App-Versionen werfen und gegebenenfalls möglichst zeitnah ein Update durchführen, falls dies nicht schon automatisch via Google Play erfolgt ist:

(Bild: research.checkpoint.com (optisch neu aufbereitet von heisec))

Laut Check Points Blogeintrag versuchten die Forscher, zu allen betroffenen Unternehmen Kontakt aufzunehmen. Bislang hätten aber lediglich Booking.com und Viber reagiert: Abgesicherte Versionen seien für beide Apps verfügbar. Auch einige andere Apps aus der Liste wurden, wie eine kurze Recherche ergab, inzwischen (teils mehrfach) aktualisiert. Ob diese Updates auch die Absicherung der Play Core-Library umfassten, lässt sich aber nicht ableiten.

Update 4.12.20, 15:45:

Auf Nachfrage teilte ein Pressesprecher von Check Point mit, dass im September insgesamt 13 Prozent aller Anwendungen im Play Store die Play Core Library genutzt hätten und 8 Prozent davon noch anfällig gewesen seien. Weiter heißt es im Statement: "Aufgrund des ständigen Zuwachses und der Abgänge aus dem Katalog des Google Play Stores ist es zwar nicht möglich, durchgängig eine genaue Anzahl der Applikationen zu nennen, die betroffen sind. Stand 30. Oktober aber wären das bei 2 560 000 Apps im Store also 332 800 Apps (13 Prozent), welche die Library eingebaut haben, und 26 624 anfällige Apps (8 Prozent)".

Detaillierte Informationen zur Schwachstelle selbst liefert die ursprüngliche Beschreibung ihrer Entdecker der Firma OverSecured. Kurz zusammengefasst ermöglicht CVE-2020-8913 einen "Directory Traversal"-Angriff mithilfe einer speziell dafür geschriebenen App A. Sie verschafft sich über die Schwachstelle Zugriff auf ein Verzeichnis in der Sandbox der verwundbaren App B, das eigentlich nur für "verifizierte" Dateien aus dem Google Play Store vorgesehen ist. Wenn sie Schadcode in dieses Verzeichnis hineinschreibt, könnte die verwundbare Google Play Core-Version in App B diesen ausführen und App B dadurch beispielsweise in Update-Manier modifizieren.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Dass Check Points Blogeintrag ganz nebenbei darauf hinweist, dass die hauseigene "SandBlast Mobile"-Sicherheits-App via CVE-2020-8913 verwundbare Apps und Angriffsversuche erkennt, überrascht wenig. Weit größere Steine kann man Angreifern allerdings durch einen grundsätzlich sehr bewussten Umgang mit App-Downloads und -Quellen in den Weg legen. Die sicherste Wahl sind hier Downloads ausschließlich aus dem offiziellen Play Store sowie ein Fokus auf bekanntermaßen seriöse Anwendungen, die von ihren Entwicklern regelmäßig aktualisiert werden.

(ovw)