Android安全漏洞可致恶意应用窃取私人用户数据 – 作者:偶然路过的围观群众

Android中存在一个安全漏洞,恶意应用可利用该漏洞从同一设备上的其他应用中窃取敏感数据。

应用安全初创公司Oversecured在Google广泛使用的Play Core Library中发现了一个漏洞。Play Core Library允许开发人员向他们的Android应用推送应用内更新和新的功能模块,例如语言包或游戏关卡。

位于同一Android设备上的恶意应用可通过向其他依赖该库的应用注入恶意模块,利用该漏洞,从该应用中窃取密码和信用-卡号等私人信息。

Oversecured的创始人Sergey Toshin对媒体表示,利用该漏洞非常容易。

该初创公司使用数行代码创建了一个PoC应用,并在依赖于Play Core Library脆弱版本的Google Chrome for Android上测试了该漏洞。Toshin表示,该PoC应用能够窃取受害者的浏览历史,密码和登录cookies。

但是Toshin称该漏洞还影响了Android应用商店中一些最流行的应用。

Google确认该漏洞(CVSS评分8.8)现已修复。一名Google发言人说,“我们感谢该名研究人员向我们报告该漏洞。该漏洞已在三月修复了。”

Toshin表示应用开发人员应更新应用至最新的Play Core Library,以消除该威胁。

————————————————————————————————————-

消息来源TechCrunch;转载请注明出处。

关注群智分析平台公众号,获取资讯《Slack修复可用于劫持用户桌面的严重漏洞》。

图片[1]-Android安全漏洞可致恶意应用窃取私人用户数据 – 作者:偶然路过的围观群众-安全小百科

来源:freebuf.com 2020-08-31 15:13:48 by: 偶然路过的围观群众

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论