Peligroso código pone en peligro a millones de usuarios de Grindr, OKCupid, Viber y otras apps de Android

Un conjunto de aplicaciones populares en la Play Store de Google continúa siendo vulnerable a un conocido fallo de seguridad que dispone de parche desde abril, por lo que los datos de cientos de millones de usuarios de Android están expuestos. La vulnerabilidad (CVE-2020-8913) permite que un ciberdelincuente inyecte software malicioso en las aplicaciones afectadas, obteniendo así acceso a toda la información que esta 'app' almacena. Este error tiene su origen en la biblioteca Play Core de Google, con la que los desarrolladores pueden introducir actualizaciones y nuevos módulos de características en las aplicaciones de Android.

Así, como explican desde Check Point Software Technologies, la vulnerabilidad permite añadir módulos ejecutables a cualquier aplicación que use la biblioteca, lo que significa que se podría inyectar cualquier código dentro de ellas. El ciberdelincuente que haya instalado una aplicación de 'malware' en el dispositivo de la víctima podría llegar a robar la información privada como los datos de inicio de sesión, las contraseñas, información financiera e incluso tener acceso al correo, indican en un comunicado enviado a Europa Press.

Google reconoció y parchó el error el 6 de abril de 2020, que llegó a calificar con un 8,8 sobre 10 acorde al nivel de gravedad, como apuntan desde la compañía. Sin embargo, para que la amenaza desaparezca por completo, los desarrolladores tienen que incorporar el parche en sus respectivas aplicaciones.

Los investigadores de Check Point decidieron seleccionar al azar una serie de aplicaciones para ver qué desarrolladores implementaron realmente el parche proporcionado por Google. Durante el mes de septiembre, el 13 por ciento de las aplicaciones de Google Play analizadas por los investigadores de la compañía utilizaban la biblioteca de Google Play Core, de las cuáles un 8 por ciento todavía tenían una versión vulnerable.

Se trata de las aplicaciones Viber, Booking, Cisco Teams, Yango Pro (Taximeter), Moovit, Grindr, OKCupid, Bumble, Edge, Xrecorder y PowerDirector. La compañía asegura que antes de esta publicación, han notificado a todas las aplicaciones sobre la vulnerabilidad y la necesidad de actualizar la versión de la biblioteca, para que no se vean afectadas. Y matizan que pruebas adicionales mostraron que Viber y Booking han sido actualizadas a las versiones parcheadas después de la notificación.

Desde Moovit han asegurado también a Europa Press que ya han "implementado un parche para solventar esta vulnerabilidad".

"Calculamos que cientos de millones de usuarios de Android están expuestos a este fallo de seguridad ya que, aunque Google implementó un parche, muchas aplicaciones siguen usando bibliotecas Play Core obsoletas", señala el director de investigación de amenazas móviles en Check Point, Aviran Hazum.

Los riesgos a los que se exponen los usuarios con esta vulnerabilidad son diversos, como explica el directivo, "por ejemplo, podría permitir robar códigos de autenticación de dos factores o inyectar código en aplicaciones bancarias para obtener las credenciales de un usuario. Otro de los escenarios sería que un ciberdelincuente pudiera inyectar código en aplicaciones de redes sociales para espiar a las víctimas o interceptar las comunicaciones realizadas a través de las aplicaciones de mensajería instantánea”.

- Con información de EUROPA PRESS -