Android安全漏洞可致恶意应用窃取私人用户数据 – 作者:偶然路过的围观群众

Android中存在一个安全漏洞，恶意应用可利用该漏洞从同一设备上的其他应用中窃取敏感数据。

应用安全初创公司Oversecured在Google广泛使用的Play Core Library中发现了一个漏洞。Play Core Library允许开发人员向他们的Android应用推送应用内更新和新的功能模块，例如语言包或游戏关卡。

位于同一Android设备上的恶意应用可通过向其他依赖该库的应用注入恶意模块，利用该漏洞，从该应用中窃取密码和信用-卡号等私人信息。

Oversecured的创始人Sergey Toshin对媒体表示，利用该漏洞非常容易。

该初创公司使用数行代码创建了一个PoC应用，并在依赖于Play Core Library脆弱版本的Google Chrome for Android上测试了该漏洞。Toshin表示，该PoC应用能够窃取受害者的浏览历史，密码和登录cookies。

但是Toshin称该漏洞还影响了Android应用商店中一些最流行的应用。

Google确认该漏洞（CVSS评分8.8）现已修复。一名Google发言人说，“我们感谢该名研究人员向我们报告该漏洞。该漏洞已在三月修复了。”

Toshin表示应用开发人员应更新应用至最新的Play Core Library，以消除该威胁。

————————————————————————————————————-

消息来源TechCrunch；转载请注明出处。

关注群智分析平台公众号，获取资讯《Slack修复可用于劫持用户桌面的严重漏洞》。

来源：freebuf.com 2020-08-31 15:13:48 by: 偶然路过的围观群众