Специалисты регулярно выявляют новые уязвимости в ПО, так что пользователям лучше быть начеку, а разработчикам — вовремя исправлять свои программы, ведь информация о них становится публичной. Но порой создатели приложений пренебрегают этой ответственностью, подвергая риску безопасность людей. Ещё в августе сообщалось об уязвимости, которая делала возможной локальные атаки и исполнение кода на устройствах Android, но до сих пор в популярном ПО ещё не закрыта эта дыра.
Специалисты Check Point Research Авиран Хазум (Aviran Hazum) и Джонатан Шимонович (Jonathan Shimonovich) сообщили об уязвимости Android CVE-2020-8913, которую Google закрыла ещё в апреле этого года. По общей системе оценки уязвимостей (CVSS) она имеет высокие 8,8 из 10 баллов и затрагивает библиотеку Android Play Core 1.7.2 и более ранние версии. Среди приложений, которые по-прежнему используют эти уязвимые версии библиотеки, перечислены следующие (приводятся самые популярные для разных категорий):
- социальные сети — Viber*;
- путешествия — Booking*;
- бизнес — Cisco Teams**;
- карты и навигация — Yango Pro (таксометр) и Moovit**;
- знакомства — Grindr**, OKCupid;
- браузеры — Edge;
- утилиты — Xrecorder и PowerDirector.
Все компании-разработчики были уведомлены об уязвимости, причём в ПО, помеченное звёздочками, уже внесены исправления (приложения с метками ** исправлены буквально накануне). Однако для обеспечения безопасности всем приложениям, использующим Play Core, необходимо обновиться до более свежей версии библиотеки — Google не может этого сделать.
В целом, очень плохо, что создателям столь популярного ПО потребовалась напоминать о необходимости добавить заплатку против серьёзной уязвимости спустя почти 7 месяцев с выпуска исправления и 3 месяцев после того, как информация о проблеме стала достоянием широкой общественности — то есть любой злоумышленник уже несколько месяцев мог воспользоваться этой дырой в безопасности.
Источник: