Microsoft Edge и
Cisco Webex Teams - это
Android приложения, которые немедленно должен снести со своего смартфона каждый верующий в бога инфосека. Если бы вы работали ещё и в
Яндекс Такси, то и
Таксиметр туда же. Но это, надеемся, вряд ли.
Сыр-бор случился по следам
рисёрча Check Point о масштабе распространения уязвимости CVE-
2020-8913,
обнаруженной и пропатченной в апреле этого года. Оказалось, что примерно 13%
Android приложений используют уязвимую библиотеку
Play Core, из них 8% (включая упомянутых выше) до сих пор не заменили её на обновлённую версию. Из-за этого миллионы пользователей ходят под дамокловым мечом целого спектра атак, связанных в внедрением кода. Например, в банковские приложения для перехвата SMS двухфакторной аутентификации. Или в мессенджеры для получения доступа к секретной переписке.
На самом деле, ситуация с раскаткой обновлений библиотек для клиентских приложений достаточно обычная. И это кагбэ намекает, что консерватории уже надо задуматься над неким бизнес-процессом, который подобно
Check Point анализировал бы
Google Play, выявлял нерадивых разработчиков и БАНИЛ ИХ ПОКА НЕ ПРОПАТЧАТ СВОИ АППЫ. Извините, пожалуйста, за капслок. Наболело болеть за призрачность благополучия пользователей.
А для постскриптума давайте вместе осудим автора
Zero Day,
хайпанувшем на этой новости совершенно не соответствующим реальности заголовком
8% всех приложений Google Play уязвимы перед старым багом. Писучесть товарища Чимпану иногда переводит
количество в некачество.
