应用安全初创公司OverSecure在谷歌广泛使用的Play Core库中发现了这个缺陷,该库允许开发者将应用内更新和新功能模块(如语言包或游戏关卡)推送到他们的Android应用程序中。
同一台Android设备上的恶意应用程序可以通过向依赖该库的其他应用程序注入恶意模块来利用该漏洞进行攻击,这些应用程序可以从应用程序内部窃取密码和信用卡号码等私人信息。
OverSecure创始人谢尔盖·托申(Sergey Toshin)告诉TechCrunch,利用这个漏洞“相当容易”。
这家初创公司使用几行代码构建了一个概念验证应用程序,并在Google Chrome for Android上测试了该漏洞,该漏洞依赖于Play Core库的一个易受攻击的版本。Toshin说,这款概念验证应用程序能够窃取受害者的浏览历史、密码和登录cookie。
但Toshin表示,该漏洞也影响了Android应用商店中一些最受欢迎的应用。
谷歌证实,这个严重程度为8.8分(满分10.0分)的漏洞现在已经修复。谷歌的一位发言人说:“我们很感谢研究人员向我们报告了这个问题,因此它在3月份被打了补丁。”
Toshin说,应用程序开发人员应该用最新的Play Core库更新他们的应用程序,以消除威胁。