Problemet kommer sig av att Googles välanvända Play Core-bibliotek låter utvecklare pusha ut uppdateringar och nya funktionsmoduler till sina Android-appar. Sårbarheten gör det möjligt att lägga till exekverbara moduler till vilken app som helst via biblioteket. Redan i slutet av augusti rapporterade forskare vid Oversecured om säkerhetsbristen som gör det möjligt för cyberkriminella att injicera skadlig kod i appar som har den kända sårbarheten CVE-2020-8913. Det kan göra att en skadlig app kan vidarebefordra känslig data från flera andra appar på samma enhet.
– Den här sårbarheten är mycket farlig och trots att Google implementerade en korrigering för problemet använder många appar fortfarande gamla Play Core-bibliotek där sårbarheten finns kvar. Sårbarheten kan till exempel göra det möjligt för cyberkriminella att stjäla tvåfaktorautentiseringskoder eller injicera kod i bankappar för att komma åt känslig information eller inloggningsuppgifter. Det är också möjligt att injicera kod i sociala medier för att spionera på offer eller att komma åt alla meddelanden i direktmeddelande-appar, säger Mats Ekdahl, säkerhetsexpert hos Check Point.
Google bekräftade och patchade problemet 6 april 2020 och betygsatte det 8,8 av 10 utifrån hur allvarligt problemet var. Men patchen måste pushas av utvecklarna själva för sina respektive appar för att problemet ska åtgärdas. Check Point valde slumpmässigt ut ett antal högprofilerade appar för att se vilka utvecklare som faktiskt implementerat Googles patch.
Under september månad i år använde 13 procent av Google Play-apparna som Check Point analyserade Google Play Core-biblioteket och 8 procent av dessa appar hade fortfarande sårbarheten kvar. Följande appar hade då fortfarande sårbarheten:
- Chatappen Viber*
- Resebokningsappen Booking*
- Företagsappen Cisco Teams
- Kart- och navigeringsapparna Yango Pro (taximeter) och Moovit
- Dejtingapparna Grindr, OKCupid och Bumble
- Webbläsarappen Edge
- Inspelnings- och videoredigeringsapparna Xrecorder och PowerDirector
Check Point har gjort appföretagen uppmärksamma på sårbarheten och behovet av att uppdatera versionen av biblioteket. Ytterligare tester visar att Viber och Booking uppdaterat till patchade versioner efter att Check Point påpekat problemet.