Android中存在一个安全漏洞,恶意应用可利用该漏洞从同一设备上的其他应用中窃取敏感数据。
应用安全初创公司Oversecured在Google广泛使用的Play Core Library中发现了一个漏洞。Play Core Library允许开发人员向他们的Android应用推送应用内更新和新的功能模块,例如语言包或游戏关卡。
位于同一Android设备上的恶意应用可通过向其他依赖该库的应用注入恶意模块,利用该漏洞,从该应用中窃取密码和信用-卡号等私人信息。
Oversecured的创始人Sergey Toshin对媒体表示,利用该漏洞非常容易。
该初创公司使用数行代码创建了一个PoC应用,并在依赖于Play Core Library脆弱版本的Google Chrome for Android上测试了该漏洞。Toshin表示,该PoC应用能够窃取受害者的浏览历史,密码和登录cookies。
但是Toshin称该漏洞还影响了Android应用商店中一些最流行的应用。
Google确认该漏洞(CVSS评分8.8)现已修复。一名Google发言人说,“我们感谢该名研究人员向我们报告该漏洞。该漏洞已在三月修复了。”
Toshin表示应用开发人员应更新应用至最新的Play Core Library,以消除该威胁。
————————————————————————————————————-
消息来源TechCrunch;转载请注明出处。
关注群智分析平台公众号,获取资讯《Slack修复可用于劫持用户桌面的严重漏洞》。
来源:freebuf.com 2020-08-31 15:13:48 by: 偶然路过的围观群众
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册