[ad_1]

توسعه دهندگان برنامه های تلفن همراه آندروید ، از جمله کسانی که در برخی از برجسته ترین برنامه های دوستیابی جهان کار می کنند ، عجله دارند که یک وصله تأخیر را برای نقص حیاتی در کتابخانه Google Play Core اعمال کنند – یک عنصر مهم در روند فشار دادن به روزرسانی برنامه و ویژگی های جدید زنده – که به طور بالقوه میلیون ها کاربر تلفن همراه را در معرض مصالحه قرار می دهد.

اشکال مورد بحث ، CVE-2020-8913 ، یک آسیب پذیری محلی برای اجرای کد است که می تواند به مهاجمان اجازه دهد یک کیت Android Package (APK) با هدف قرار دادن برنامه ای که به آنها امکان می دهد کد را به عنوان برنامه هدفمند اجرا کنند و در نهایت دسترسی پیدا کنند ، ایجاد کنند. داده های کاربر هدف

در اوایل سال 2020 توسط گوگل وصله شد ، اما به دلیل آسیب پذیری مشتری ، به جای آسیب پذیری سمت سرور ، در طبیعت کاهش نمی یابد مگر اینکه توسعه دهندگان برنامه کتابخانه های Play Core خود را به روز کنند.

هفته گذشته ، محققان در Check Point نشان دادند که تعدادی از برنامه های محبوب هنوز برای بهره برداری از CVE-2020-8913 باز هستند و به شرکت های پشت سر آنها اطلاع دادند.

این برنامه های بدون وصله شامل Booking ، Bumble ، Cisco Teams ، Microsoft Edge ، Grindr ، OkCupid ، Moovit ، PowerDirector ، Viber ، Xrecorder و Yango Pro بودند. بین آنها ، این برنامه ها بیش از 800،000،000 بارگیری را به خود اختصاص داده اند و مطمئناً بسیاری دیگر نیز تحت تأثیر قرار گرفته اند. در حال حاضر Grindr ، Booking ، Cisco Teams ، Moovit و Viber این مشکل را برطرف کرده اند.

سخنگوی Grindr به Computer Weekly گفت: “ما از محقق Check Point که آسیب پذیری را به ما جلب کرد سپاسگزاریم. در همان روزی که این آسیب پذیری مورد توجه ما قرار گرفت ، تیم ما به سرعت برای رفع این مشکل رفع مشکل کرد.

“همانطور که ما آن را درک کردیم ، برای سو this استفاده از این آسیب پذیری ، باید یک کاربر را فریب داده باشد تا یک برنامه مخرب را بر روی تلفن خود بارگیری کند که به طور خاص برای بهره برداری از برنامه Grindr طراحی شده است.

“به عنوان بخشی از تعهد ما در زمینه ارتقا the ایمنی و امنیت خدمات خود ، ما با HackerOne ، یک شرکت امنیتی پیشرو ، برای ساده سازی و بهبود توانایی محققان امنیتی در گزارش مواردی از این دست ، همکاری کرده ایم. ما یک صفحه آشکارسازی آسیب پذیری از طریق HackerOne ارائه می دهیم که مستقیماً توسط تیم امنیتی ما کنترل می شود.

ما همچنان که به تعهد خود در قبال کاربران خود ادامه می دهیم ، به ارتقا practices شیوه های خود ادامه می دهیم تا فعالانه این مشکلات و نگرانی های مشابه را برطرف کنیم. “

Aviran Hazum ، مدیر تحقیقات تلفن همراه Check Point ، گفت که تخمین زده می شود صدها میلیون مالک اندروید همچنان در معرض خطر باشند.

هازوم گفت: “آسیب پذیری CVE-2020-8913 بسیار خطرناک است.” “اگر یک برنامه مخرب از این آسیب پذیری سو استفاده کند ، می تواند در داخل برنامه های محبوب اجرای کد را بدست آورد ، همان دسترسی به برنامه آسیب پذیر. به عنوان مثال ، این آسیب پذیری می تواند به یک بازیگر تهدید اجازه دهد تا کدهای احراز هویت دو عاملی را بدزدد یا کدی را به برنامه های بانکی تزریق کند تا اعتبار را بدست آورد.

“یا یک بازیگر تهدید می تواند برای جاسوسی از قربانیان و یا تزریق کد به همه پیام های فوری ، به برنامه های شبکه های اجتماعی کد تزریق کند [instant messaging] برنامه ها برای گرفتن همه پیام ها. احتمال حمله در اینجا فقط توسط تخیل بازیگر تهدید محدود می شود. ”هازوم گفت.

[ad_2]

منبع: tadrisriazi-news.ir