La startup per la sicurezza delle app Oversecured ha trovato una vulnerabilità nella libreria Google Play Core, l’interfaccia di runtime che consente agli sviluppatori di inviare aggiornamenti e nuove funzionalità alle loro app Android attraverso il Google Play Store.
La vulnerabilità di sicurezza Android avrebbe potuto consentire alle app malevole di sottrarre dati sensibili da altre applicazioni installate sullo stesso dispositivo, iniettandovi moduli dannosi basati sulla libreria Play Core per rubare informazioni private come password e numeri di carte di credito.
Un bug di sicurezza Android espone i dati privati degli utenti
Sergey Toshin, fondatore di Oversecured, ha dichiarato a TechCrunch che per sfruttare il bug è stato sufficiente creare un’app malware da poche righe di codice e testare la vulnerabilità su Google Chrome per Android che si basava su una versione vulnerabile della libreria Play Core.
Toshin ha affermato che l’app malware di prova è stata in grado di rubare la cronologia di navigazione, le password e i cookie di accesso di una vittima, inoltre ha verificato che il bug ha colpito anche alcune delle app più popolari presenti nel Play Store di Google.
Il bug di sicurezza Android è stato valutato 8.8 su 10.0 per gravità dal National Vulnerability Database, il repository governativo statunitense dei dati di gestione delle vulnerabilità.
Un portavoce di Google ha riferito che il bug è stato corretto a marzo, tuttavia Toshin sostiene che gli sviluppatori dovrebbero aggiornare le loro app con l’ultima libreria Play Core per rimuovere la minaccia.