Publié le: 03/12/2020 @ 21:38:54: Par Nic007 Dans "Sécurité"
Il n'y a pas de nouvelles réconfortantes de Checkpoint Software , l'une des principales plateformes de recherche en matière de sécurité informatique, pour les utilisateurs du Play Store . L'une des vulnérabilités les plus potentiellement dommageables est toujours dangereuse. La vulnérabilité au cœur du problème est identifiée avec les initiales CVE-2020-8913 et a été formellement résolue par Google via les correctifs de sécurité mis à jour au 6 avril 2020 . Malheureusement, puisqu'il s'agit d'une vulnérabilité du Play Core de Google, les correctifs ne suffisent pas à la résoudre : même les développeurs des applications hébergées sur le Play Store doivent l'implémenter dans leurs produits, sinon les utilisateurs qui installent les applications susmentionnées seront toujours vulnérables .
La pire conséquence d'être vulnérable à CVE-2020-8913 peut voir dans la démonstration vidéo de cela à la fin de cet article : Dans l'exemple que nous avons utilisé une version de Chrome n'est pas patché , et donc toujours vulnérable. La vidéo montre que grâce aux cookies d'application vulnérables, un attaquant hypothétique est en mesure d' accéder aux ressources de l'appareil hébergeant l'application. Il existe actuellement plusieurs applications qui n'ont pas encore pris les mesures nécessaires contre cette vulnérabilité. En particulier, 8% des applications analysées par les chercheurs de Checkpoint Software ne l'ont pas adoptée. Voyons les principaux :
Cisco Teams
Yango Pro (taximètre)
Moovit
Grindr
OKCupid
Bumble
Microsoft Edge
Xrecorder
PowerDirector
Le conseil pour les utilisateurs moyens est de mettre à jour les applications chaque fois que possible . Dans ce cas, une grande partie de la responsabilité incombe aux développeurs des applications eux-mêmes dans la mise en œuvre des correctifs distribués par Google.
Mise à jour 6/12, droit de réponse:
Le problème a été résolu chez Moovit. D'ailleurs, Checkpoint a corrigé son étude en ce sens et Moovit n'apparaît plus dans cette liste d'applications vulnérables : https://research.checkpoint.com/2020/vulnerability-in-google-play-core-library-remains-unpatched-in-google-play-applications/
La pire conséquence d'être vulnérable à CVE-2020-8913 peut voir dans la démonstration vidéo de cela à la fin de cet article : Dans l'exemple que nous avons utilisé une version de Chrome n'est pas patché , et donc toujours vulnérable. La vidéo montre que grâce aux cookies d'application vulnérables, un attaquant hypothétique est en mesure d' accéder aux ressources de l'appareil hébergeant l'application. Il existe actuellement plusieurs applications qui n'ont pas encore pris les mesures nécessaires contre cette vulnérabilité. En particulier, 8% des applications analysées par les chercheurs de Checkpoint Software ne l'ont pas adoptée. Voyons les principaux :
Cisco Teams
Yango Pro (taximètre)
Moovit
Grindr
OKCupid
Bumble
Microsoft Edge
Xrecorder
PowerDirector
Le conseil pour les utilisateurs moyens est de mettre à jour les applications chaque fois que possible . Dans ce cas, une grande partie de la responsabilité incombe aux développeurs des applications eux-mêmes dans la mise en œuvre des correctifs distribués par Google.
Mise à jour 6/12, droit de réponse:
Le problème a été résolu chez Moovit. D'ailleurs, Checkpoint a corrigé son étude en ce sens et Moovit n'apparaît plus dans cette liste d'applications vulnérables : https://research.checkpoint.com/2020/vulnerability-in-google-play-core-library-remains-unpatched-in-google-play-applications/
Plus d'actualités dans cette catégorie