Siglo XXI. Diario digital independiente, plural y abierto. Noticias y opinión
Viajes y Lugares Tienda Siglo XXI Grupo Siglo XXI
21º ANIVERSARIO
Fundado en noviembre de 2003
Tecnología

Apps populares de Android son vulnerables a un bug ya parcheado que pone en peligro a millones de usuarios

jueves, 3 de diciembre de 2020, 14:56 h (CET)
Apps populares de Android son vulnerables a un bug ya parcheado que pone en peligro a millones de usuarios
MADRID, 3 (Portaltic/EP)
Un conjunto de aplicaciones populares en la Play Store de Google continúan siendo vulnerables a un conocido fallo de seguridad que dispone de parche desde abril, por lo que los datos de cientos de millones de usuarios de Android están expuestos.

La vulnerabilidad (CVE-2020-8913) permite que un ciberdelincuente inyecte software malicioso en las aplicaciones afectadas, obteniendo así acceso a toda la información que esta 'app' almacena. Este error tiene su origen en la biblioteca Play Core de Google, con la que los desarrolladores pueden introducir actualizaciones y nuevos módulos de características en las aplicaciones de Android.

Así, como explican desde Check Point Software Technologies, la vulnerabilidad permite añadir módulos ejecutables a cualquier aplicación que use la biblioteca, lo que significa que se podría inyectar cualquier código dentro de ellas.

El ciberdelincuente que haya instalado una aplicación de 'malware' en el dispositivo de la víctima podría llegar a robar la información privada como los datos de inicio de sesión, las contraseñas, información financiera e incluso tener acceso al correo, indican en un comunicado enviado a Europa Press.

LOS DESARROLLADORES DEBEN ACTUALIZAR LO ANTES POSIBLE
Google reconoció y parcheó el error el 6 de abril de 2020, que llegó a calificar con un 8,8 sobre 10 acorde al nivel de gravedad, como apuntan desde la compañía. Sin embargo, para que la amenaza desaparezca por completo, los desarrolladores tienen que incorporar el parche en sus respectivas aplicaciones.

Los investigadores de Check Point decidieron seleccionar al azar una serie de aplicaciones para ver qué desarrolladores implementaron realmente el parche proporcionado por Google. Durante el mes de septiembre, el 13 por ciento de las aplicaciones de Google Play analizadas por los investigadores de la compañía utilizaban la biblioteca de Google Play Core, de las cuáles un 8 por ciento todavía tenían una versión vulnerable.

Se trata de las aplicaciones Viber, Booking, Cisco Teams, Yango Pro (Taximeter), Moovit, Grindr, OKCupid, Bumble, Edge, Xrecorder y PowerDirector. La compañía asegura que antes de esta publicación, han notificado a todas las aplicaciones sobre la vulnerabilidad y la necesidad de actualizar la versión de la biblioteca, para que no se vean afectadas. Y matizan que pruebas adicionales mostraron que Viber y Booking han sido actualizadas a las versiones parcheadas después de la notificación.

"Calculamos que cientos de millones de usuarios de Android están expuestos a este fallo de seguridad, ya que aunque Google implementó un parche, muchas aplicaciones siguen usando bibliotecas Play Core obsoletas", señala el director de investigación de amenazas móviles en Check Point, Aviran Hazum.

Los riesgos a los que se exponen los usuarios con esta vulnerabilidad son diversos, como explica el directivo, "por ejemplo, podría permitir robar códigos de autenticación de dos factores o inyectar código en aplicaciones bancarias para obtener las credenciales de un usuario. Otro de los escenarios sería que un ciberdelincuente pudiera inyectar código en aplicaciones de redes sociales para espiar a las víctimas o interceptar las comunicaciones realizadas a través de las aplicaciones de mensajería instantánea".

Noticias relacionadas

Una campaña dirigida a iPhones combina ataques de fatiga MFA con 'vishing' para acceder a permisos del sistema

Microsoft WordPad se eliminará de Windows 11 a partir de la versión 24H2

Ya disponible la actualización One UI 6.1, que lleva la IA a los móviles Galaxy S23 y los plegables Z Fold5 y Z Flip5

OpenAI prueba un sitema de monetización en su tienda para compensar a los desarrolladores según el uso de sus GPT

Los dispositivos tecnológicos obsoletos cogen polvo en los cajones de los hogares españoles

 
Quiénes somos  |   Sobre nosotros  |   Contacto  |   Aviso legal  |   Suscríbete a nuestra RSS Síguenos en Linkedin Síguenos en Facebook Síguenos en Twitter   |  
© Diario Siglo XXI. Periódico digital independiente, plural y abierto | Director: Guillermo Peris Peris