Bugg i Android exponerade användardata – lätt att använda (augusti 2020)

Android Logo 950 x 500

Ett allvarligt säkerhetshål i Android gjorde att skadliga appar kunde samla användardata via lokalt installerade från din mobiltelefon eller surfplatta.

Säkerhetsfirman Oversecured rapporterar att de hittade säkerhetshålet i Google Play Core-biblioteket. Ett ramverk med kod som gör att utvecklare kan släppa uppdateringar till sina appar med förbättringar som ett nytt språk eller nya banor till spel.

Enligt Oversecured gör säkerhetshålet att skadliga appar kan uppdatera och skicka nya moduler till andra appar som använder Play Core-biblioteket.

På så vis är det åtminstone teoretiskt möjligt att komma åt känslig information. Exempelvis lösenord, betalkortsinformation och liknande. Sergey Toshin är grundare av Oversecured och han säger till webbsajten Tech Crunch att säkerhetshålet var rätt enkel att nyttja.

Säkerhetshålet klassas som 8,8 av 10 i allvarlighetsgrad

Google klassade säkerhetshålets allvarlighet som 8,8 av 10. Det tog bara några enkla rader med programkod för att både visa hur säkerhetshålet fungerade och att det kunde nyttjas av illvilliga.

Google släppte en buggfix som löste problemet redan i mars 2020. I ett uttalande säger en representant för Google att företaget uppskattar att Oversecured rapporterade problemet till dem. 

Sergey Toshin och säkerhetsfirman vill dock vara tydliga med att alla utvecklare som använder Play Core-biblioteket i sina appar bör uppdatera till senaste versionen. Det minimerar riskerna och säkerstället att säkerhetshålet inte kan utnyttjas.

Om du vill läsa mer om sårbarheten kan du göra det på Oversecureds officiella webbsajt. Det finns även detaljerad bugginformation på webbsajten NIST.