LAX And​​roid应用程序开发人员将数百万用户处于危险之中
明年IT战略的三种选择
如果他们帮助赎金软件受害者支付,则安全优势面临制裁
CityFibre奖£1.5亿英镑,以27个城镇和城市资助全纤维建筑
GSMA推出数字访问指南,以帮助残疾人
HMRC Shuns Gov.uk通知并寻求供应商统一通知
英国监管机构缺乏应对越来越多的算法的技能和专业知识
Comms Giants流到亚马逊的边缘,以提高5G企业,工业应用
CMA阐述了规范技术巨头的计划
社交媒体数据泄漏突出了Myky数据刮的世界
全球数据中心集线器分析揭示了65%的全球拼赠收入来自25个城市
沃达丰,爱立信试用连接无人机的自动飞行路径
在2020年的北欧故事中的十大企业
新的承包商指定跨越德文和萨默塞特推出纤维宽带
H&M集团在可持续发展推动下签署瑞典环保运营商的多年派对协议
亚马逊负责违反欧盟反托拉斯规则
网络安全是开源的下一个前沿
Solarwinds网络攻击是全球安全的“严重风险”
NetApp提升NVME,QLC和集装箱混合云报价
瓦拉与英国政府合作拉丁美洲解释项目
APAC困扰着帆布软件攻击
应用程序集成意味着紧急服务可以识别三个单词的呼叫者位置
多个D-Link路由器发现很容易受到攻击
DeutscheBӧrse用Google云解决VMware应用程序迁移
在可持续发展推动下,筛选在全球电流地产中保存水保存优先考虑
BMW集团与AWS一起开始数据驱动的供应链改造
支出审查致力于Gov.uk账户3200万英镑
政府列出了安全审查IT平台的计划
剑桥宽带网络增强了固定的无线接入优惠
研究表明,英国企业由网络攻击的外翻受到资金的财务状况
NTT TAPS数据分析和云为巡回赛法法国
英国Comms工作队长负责人警告东V西5G标准战
骗局移动应用程序通过流氓Tiktok账户传播
Quantum的ATF旨在对非结构化数据进行分类和管理
英国政府迅速努力监管科技巨头
电信科技在新的安全法下可能面临巨额罚款
Mayor说,哈克尼委员会的网络攻击是“道德厌恶”
建立无线基础设施,5G室内收入将超过2025美元超过160亿美元
沃达丰在SAP S / 4 HANA上构建智能企业
GiffGaff可以推动运营转型
英国政府在海上自治方面进入
Tiktok的GDPR合规性探讨了数据滥用的指控
ViaSAT宣布售价22200万美元的Rignet收购
英国政府旨在优先考虑未来的创新
IoT如何在农村社区中保持水流
诺基亚在五个德国研究中心部署了5G私人网络
爱立信在泰国电源DTAC 5G网络
计算机每周2020名科技崛起的妇女
HM Land Registry Raids Digital ID标准
赎金软件的一周:富士康和兰特斯塔德是高调的受害者
您的位置:首页 >电子新品 >

LAX And​​roid应用程序开发人员将数百万用户处于危险之中

2021-09-15 18:43:53 [来源]:

Android应用程序开发人员通过未能更新谷歌广泛使用的播放核心库来覆盖4月2020年4月修复的错误,检查点已警告。

CVE-2020-8913漏洞是一个本地任意代码的代码执行漏洞,它使恶意演员能够创建一个Android包套件(APK),其针对特定应用程序,该应用程序允许他们将代码作为目标应用程序执行,并访问其上保存的数据用户设备。这可能包括私人信息,例如登录凭据,财务细节,私人消息或照片。

它源于播放核心库,这是一个重要的元素,使开发人员将自己的应用程序内更新和新功能模块推到实时应用程序。播放核心库在Google Play商店的大约13%的Apps中使用,截至2020年9月

它于2020年4月6日由Google修补,但由于它是一个客户端漏洞 - 而不是完全修补的服务器端漏洞,一旦修补程序应用于服务器 - 有效地减轻它需要每个开发人员使用播放核心库抓住修补版本并将其安装到应用程序中。八个月后,许多人仍然没有这样做。

Aviran Hazum,Check Point的移动研究经理表示:“我们估计数亿辆Android用户处于安全风险。虽然Google实现了补丁,但许多应用程序仍然使用过时的播放核心库。

“漏洞CVE-2020-8913非常危险,”他说。“如果恶意应用程序利用此漏洞,它可以在流行的应用程序内获得代码执行,从而获得与易受攻击的应用程序相同的访问。例如,该漏洞可以允许威胁演员窃取双因素认证代码或将代码注入到银行应用程序中以抓取凭证。

“或威胁演员可以将代码注入社交媒体应用程序,以间谍受害者或将代码注入所有IM应用程序以抓取所有消息。这里的攻击可能性仅受到威胁演员的想象力的限制,“Hazum说。

通过检查点联系,谷歌确认CVE-2020-8913“不存在”在最新播放核心版本中。

尽管如此,在撰写缺陷时仍然存在于Bumble,Edge,GrindR,PowerDirector,XRecorder和Yango Pro中,这是一个小型,随机选择的验收应用程序的研究。原来抽样,预订,思科团队,Moovit和Viber的四个应用程序,自证实他们已纠正了这个问题。

这些应用程序的所有其他开发人员已通过检查点联系,但目前尚不清楚他们是否已更新。

这些应用程序的用户应考虑在其设备上安装移动威胁Defence Solutions,如果他们还没有这样做。这些服务通常在设备,应用程序和网络级别解决威胁,并应提供足够的保护。对于公司设备的用户,MTD应构成企业移动管理策略的一部分。

目前可用的工具包括验证点的移动防御,赛门铁克的终点保护移动,Zimperium的拉链检查点自己的Sandblast Mobile。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。