Categories: MobileMobile Apps

8 Prozent aller Apps im Play Store anfällig für alte Sicherheitslücke

In rund 8 Prozent aller im offiziellen Google Play Store erhältlichen Apps steckt eine Sicherheitslücke. Das ist das Ergebnis einer Analyse von Check Point. Auslöser ist eine veraltete Version einer weit verbreiteten Java-Bibliothek namens Play Core. Sie wird von Google bereitgestellt und ermöglicht Interaktionen zwischen Apps und dem Play Store.

Mithilfe der Bibliothek lassen sich Updates herunterladen und installieren, aber auch weitere Module oder Sprachpakete. Selbst weitere Apps lassen sich über Play Core aus der eigenen App heraus downloaden.

Die fragliche Schwachstelle mit der Kennung CVE-2020-8913 wurde bereits im Februar 2020 von Forschern des Sicherheitsanbieters Oversecured entdeckt. Sie erlaubte es, schädlichen Code in andere Apps einzufügen, um beispielsweise deren vertrauliche Daten wie Passwörter, Fotos oder gar Codes für eine Anmeldung in zwei Schritten zu stehlen. Einen Angriff zeigten die Forscher auch in einem Video.

Mit der Version Play Core 1.7.2 stellte Google im März einen Patch bereit. Seitdem haben es einige App-Anbieter laut Check Point jedoch versäumt, die in ihren Apps integrierte Play-Core-Bibliothek zu aktualisieren.

Ihre Scans führten die Forscher bereits im September durch. Zu dem Zeitpunkt setzten 13 Prozent aller Apps Play Core ein, allerdings nur 5 Prozent aller Apps verfügten auch über eine aktuelle und somit sichere Version. Anschließend informierten die Forscher die betroffenen Entwickler über ihr Versäumnis. Drei Monate später hatten ihnen zufolge allerdings nur zwei App-Anbieter reagiert und ihre Apps aktualisiert: Viber und Booking.com.

Zu den Apps, die auch Anfang Dezember noch keinen Patch enthielten, gehören auch solche mit mehr als 100 Millionen Downloads. Andere bringen es auf 10 Millionen und mehr Installationen. Auf ein Update sollten unter anderem Nutzer der Apps XRecorder, Moovit, Grindr, Microsoft Edge, Cyberlink PowerDirector, OKCupid und Cisco Teams warten.

„Wie unser Demo-Video zeigt, ist diese Schwachstelle extrem leicht auszunutzen“, erklärten die Forscher. Hacker müssten lediglich eine eigene App entwickeln, die anschließend den Fehler in einer anfälligen App ausnutzte, um eine Datei in einem Ordner abzulegen, der nur für geprüfte Inhalte vorgesehen sei.

Die Analyse von CheckPoint zeigt, dass Nutzer sich leider nicht darauf verlassen können, dass eine aktuelle App zumindest zum Zeitpunkt ihrer Veröffentlichung auch wirklich sicher und frei von bekannten Sicherheitslücken ist. Allerdings betrifft das Problem nicht nur Bibliotheken, sondern jeglichen Code, den Entwickler von Dritten übernehmen, ohne regelmäßig zu prüfen, ob dieser Code von seinem Entwickler aktualisiert wurde.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SOCs fehlen Fachleute

Ein Security Operation Center (SOC) erfordert einen hohen Personalaufwand und die dafür nötigen Sicherheitsexperten sind…

12 Stunden ago

Nachhaltigkeit ist ein Muss

Die Umwelt verzeiht nichts und in jedem Unternehmen gibt es Stellschrauben, um den Umweltschutz zu…

13 Stunden ago

Triage mit Künstlicher Intelligenz

Bei Triage geht es darum, schwere Fälle zu priorisieren. Weil die IT-Experten von einer Vielzahl…

14 Stunden ago

Ransomware-Attacken zurück im Geschäft

Doch keine Sommerpause: Nach einem leichten Rückgang zu Beginn des Jahres hat die Zahl der…

14 Stunden ago

Datenschutz & LinkedIn

Von über 830 Millionen Mitgliedern weltweit verwaltet das kalifornische Online-Karriereportal LinkedIn inzwischen Daten und Kontakte.…

4 Tagen ago

Matter: Neuer Standard für Smart Home

Die Connectivity Standards Alliance (CSA) will Matter zum neuen Konnektivitätsstandard für Smart Homes machen.

4 Tagen ago