云安全日报200902：谷歌Android系统发现重要漏洞,可窃取敏感数据

8月底，安全研究人员发现了Android系统中的一个严重漏洞，该漏洞允许恶意应用程序在设备上下载和运行，并从其他应用窃取用户的敏感数据。以下是漏洞详情：

漏洞详情

CVE-2020-8913 CSS评分 8.8 高危

具体来说，该漏洞存在于Google Play Core中，该漏洞使应用程序开发人员可以对应用程序进行更新。 因此，所有依赖此组件进行更新的应用都可能受到此漏洞的威胁。恶意应用可能利用此组件将恶意模块注入其他应用以窃取数据。

Google PlayCore 核心库是适用于Android的流行库，它允许在运行时交付应用程序各个部分的更新，而无需用户通过Google API参与。通过加载针对特定设备和设置（本地化，图像尺寸，处理器体系结构，动态模块）优化的资源，而不是存储许多可能的版本，它还可用于减少主apk文件的大小。

恶意攻击者可以创建针对特定应用程序的apk，如果受害者要安装该apk，则攻击者可以执行目录遍历，将代码作为目标应用程序执行，并在Android设备上窃取目标应用程序的数据。

作为概念验证，研究人员通过使用几行代码构建应用程序发现了该漏洞，并在Android版Google Chrome上测试了该漏洞，可以成功窃取包括信用卡号，密码，浏览历史记录和登录cookie在内的数据。

Google将该漏洞评估为高度危险。这意味着许多流行的应用程序（包括Google Chrome，Mozilla Firefox浏览器，金融和银行应用程序，非银行应用程序等）容易受到任意代码执行的攻击。这可能导致用户凭证和财务详细信息（包括信用卡历史记录）泄漏；以拦截和篡改其浏览器历史记录，cookie文件等。要删除它们，开发人员应将Google Play Core库更新为最新版本，而用户应更新其所有应用。

受影响产品和版本

Play Core Library 1.7.2版本以下存在该漏洞，并且此漏洞影响所有依赖Play Core 核心组件进行更新的应用（包括Google Chrome，Mozilla Firefox浏览器，金融和银行应用程序等）

解决方案

Play Core Library 1.7.2或更高版本中修复了该漏洞，建议开发人员应将Google Play Core库更新为最新版本，而用户应更新其所有应用。

文章来源：

https://latesthackingnews.com/2020/09/01/android-bug-could-allow-malicious-apps-to-steal-user-data-from-other-apps/