Categories: MobileMobile Apps

8 Prozent aller Apps im Play Store anfällig für alte Sicherheitslücke

In rund 8 Prozent aller im offiziellen Google Play Store erhältlichen Apps steckt eine Sicherheitslücke. Das ist das Ergebnis einer Analyse von Check Point. Auslöser ist eine veraltete Version einer weit verbreiteten Java-Bibliothek namens Play Core. Sie wird von Google bereitgestellt und ermöglicht Interaktionen zwischen Apps und dem Play Store.

Mithilfe der Bibliothek lassen sich Updates herunterladen und installieren, aber auch weitere Module oder Sprachpakete. Selbst weitere Apps lassen sich über Play Core aus der eigenen App heraus downloaden.

Die fragliche Schwachstelle mit der Kennung CVE-2020-8913 wurde bereits im Februar 2020 von Forschern des Sicherheitsanbieters Oversecured entdeckt. Sie erlaubte es, schädlichen Code in andere Apps einzufügen, um beispielsweise deren vertrauliche Daten wie Passwörter, Fotos oder gar Codes für eine Anmeldung in zwei Schritten zu stehlen. Einen Angriff zeigten die Forscher auch in einem Video.

Mit der Version Play Core 1.7.2 stellte Google im März einen Patch bereit. Seitdem haben es einige App-Anbieter laut Check Point jedoch versäumt, die in ihren Apps integrierte Play-Core-Bibliothek zu aktualisieren.

Ihre Scans führten die Forscher bereits im September durch. Zu dem Zeitpunkt setzten 13 Prozent aller Apps Play Core ein, allerdings nur 5 Prozent aller Apps verfügten auch über eine aktuelle und somit sichere Version. Anschließend informierten die Forscher die betroffenen Entwickler über ihr Versäumnis. Drei Monate später hatten ihnen zufolge allerdings nur zwei App-Anbieter reagiert und ihre Apps aktualisiert: Viber und Booking.com.

Zu den Apps, die auch Anfang Dezember noch keinen Patch enthielten, gehören auch solche mit mehr als 100 Millionen Downloads. Andere bringen es auf 10 Millionen und mehr Installationen. Auf ein Update sollten unter anderem Nutzer der Apps XRecorder, Moovit, Grindr, Microsoft Edge, Cyberlink PowerDirector, OKCupid und Cisco Teams warten.

„Wie unser Demo-Video zeigt, ist diese Schwachstelle extrem leicht auszunutzen“, erklärten die Forscher. Hacker müssten lediglich eine eigene App entwickeln, die anschließend den Fehler in einer anfälligen App ausnutzte, um eine Datei in einem Ordner abzulegen, der nur für geprüfte Inhalte vorgesehen sei.

Die Analyse von CheckPoint zeigt, dass Nutzer sich leider nicht darauf verlassen können, dass eine aktuelle App zumindest zum Zeitpunkt ihrer Veröffentlichung auch wirklich sicher und frei von bekannten Sicherheitslücken ist. Allerdings betrifft das Problem nicht nur Bibliotheken, sondern jeglichen Code, den Entwickler von Dritten übernehmen, ohne regelmäßig zu prüfen, ob dieser Code von seinem Entwickler aktualisiert wurde.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sophos deckt Kryptominer auf

Sophos hat Beweise gefunden, dass der Betreiber des MrbMiner Krypto-Mining-Botnets eine kleine Software-Entwicklungsfirma ist, die…

10 Stunden ago

Europa forciert digitale Impfpässe

Mehrere europäische Regierungen setzen auf digitale Impfpässe. Eine EU-weite Initiative scheint in Reichweite zu sein.

11 Stunden ago

Elastic setzt auf SSPL

Elastic bewegt sich weg von Open Source und setzt stattdessen auf die Server Side Public…

17 Stunden ago

Microsoft: Niemandem vertrauen

Die SolarWinds-Attacke setzte ausgeklügelte Techniken ein, war aber in vielerlei Hinsicht auch gewöhnlich und vermeidbar,…

19 Stunden ago

Red Hat führt kostenloses RHEL für kleine Produktions-Workloads und Entwicklungsteams ein

Als Reaktion auf Beschwerden über die jüngsten Pläne für CentOS Linux wird Red Hat ab…

1 Tag ago

1.000 deutsche IBM-Mitarbeiter sollen entlassen werden

IBM will sich von zahlreichen deutschen Mitarbeitern trennen. Die Gewerkschaft ver.di befürchtet bis zu 1.000…

1 Tag ago