云安全日报200902:谷歌Android系统发现重要漏洞,可窃取敏感数据,需要尽快升级

8月底,安全研究人员发现了Android系统中的一个严重漏洞,该漏洞允许恶意应用程序在设备上下载和运行,并从其他应用窃取用户的敏感数据。以下是漏洞详情:

漏洞详情

CVE-2020-8913 CSS评分 8.8 高危

具体来说,该漏洞存在于Google Play Core中,该漏洞使应用程序开发人员可以对应用程序进行更新。 因此,所有依赖此组件进行更新的应用都可能受到此漏洞的威胁。恶意应用可能利用此组件将恶意模块注入其他应用以窃取数据。

Google PlayCore 核心库是适用于Android的流行库,它允许在运行时交付应用程序各个部分的更新,而无需用户通过Google API参与。通过加载针对特定设备和设置(本地化,图像尺寸,处理器体系结构,动态模块)优化的资源,而不是存储许多可能的版本,它还可用于减少主apk文件的大小。

恶意攻击者可以创建针对特定应用程序的apk,如果受害者要安装该apk,则攻击者可以执行目录遍历,将代码作为目标应用程序执行,并在Android设备上窃取目标应用程序的数据。

作为概念验证,研究人员通过使用几行代码构建应用程序发现了该漏洞,并在Android版Google Chrome上测试了该漏洞,可以成功窃取包括信用卡号,密码,浏览历史记录和登录cookie在内的数据。

Google将该漏洞评估为高度危险。这意味着许多流行的应用程序(包括Google Chrome,Mozilla Firefox浏览器,金融和银行应用程序,非银行应用程序等)容易受到任意代码执行的攻击。这可能导致用户凭证和财务详细信息(包括信用卡历史记录)泄漏;以拦截和篡改其浏览器历史记录,cookie文件等。要删除它们,开发人员应将Google Play Core库更新为最新版本,而用户应更新其所有应用。

受影响产品和版本

Play Core Library 1.7.2版本以下存在该漏洞,并且此漏洞影响所有依赖Play Core 核心组件进行更新的应用(包括Google Chrome,Mozilla Firefox浏览器,金融和银行应用程序等)

解决方案

Play Core Library 1.7.2或更高版本中修复了该漏洞,建议开发人员应将Google Play Core库更新为最新版本,而用户应更新其所有应用。

文章来源:

https://latesthackingnews.com/2020/09/01/android-bug-could-allow-malicious-apps-to-steal-user-data-from-other-apps/

更多关于云服务器域名注册虚拟主机的问题,请访问西部数码官网:www.west.cn

赞(0)
声明:本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:fanjiao@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处:西部数码知识库 » 云安全日报200902:谷歌Android系统发现重要漏洞,可窃取敏感数据,需要尽快升级

登录

找回密码

注册