首页 云计算

云安全日报200902:谷歌Android系统发现重要漏洞,可窃取敏感数据,需要尽快升级

8月底,安全研究人员发现了Android系统中的一个严重漏洞,该漏洞允许恶意应用程序在设备上下载和运行,并从其他应用窃取用户的敏感数据。以下是漏洞详情:

漏洞详情

CVE-2020-8913  CVSS评分 8.8 高危

具体来说,该漏洞存在于Google Play Core中,该漏洞使应用程序开发人员可以对应用程序进行更新。 因此,所有依赖此组件进行更新的应用都可能受到此漏洞的威胁。恶意应用可能利用此组件将恶意模块注入其他应用以窃取数据。

Google Play Core 核心库是适用于Android的流行库,它允许在运行时交付应用程序各个部分的更新,而无需用户通过Google API参与。通过加载针对特定设备和设置(本地化,图像尺寸,处理器体系结构,动态模块)优化的资源,而不是存储许多可能的版本,它还可用于减少主apk文件的大小。

恶意攻击者可以创建针对特定应用程序的apk,如果受害者要安装该apk,则攻击者可以执行目录遍历,将代码作为目标应用程序执行,并在Android设备上窃取目标应用程序的数据。

作为概念验证,研究人员通过使用几行代码构建应用程序发现了该漏洞,并在Android版Google Chrome上测试了该漏洞,可以成功窃取包括信用卡号,密码,浏览历史记录和登录cookie在内的数据。

Google将该漏洞评估为高度危险。这意味着许多流行的应用程序(包括Google Chrome,Mozilla Firefox浏览器,金融和银行应用程序,非银行应用程序等)容易受到任意代码执行的攻击。这可能导致用户凭证和财务详细信息(包括信用卡历史记录)泄漏;以拦截和篡改其浏览器历史记录,cookie文件等。要删除它们,开发人员应将Google Play Core库更新为最新版本,而用户应更新其所有应用。

受影响产品和版本

Play Core Library 1.7.2版本以下存在该漏洞,并且此漏洞影响所有依赖Play Core 核心组件进行更新的应用(包括Google Chrome,Mozilla Firefox浏览器,金融和银行应用程序等)

解决方案

Play Core Library 1.7.2或更高版本中修复了该漏洞,建议开发人员应将Google Play Core库更新为最新版本,而用户应更新其所有应用。

 

文章来源:

https://latesthackingnews.com/2020/09/01/android-bug-could-allow-malicious-apps-to-steal-user-data-from-other-apps/

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多