Компания Check Point обнаружила уязвимость в широко распространённых Android-приложениях, браузере Edge, программе XRecorder и видеоредакторе PowerDirector. Уязвимость находится в Google Play Core Library. Это коллекция кода производства Google. Библиотека связана с процессом обновления приложений в зависимости от конкретных конфигураций или моделей устройств.

В августе фирма Oversecured рассекретила баг в Google Play Core Library, который позволял одному установленному приложении выполнять код в контексте любого другого приложения с применением уязвимой версии библиотеки. Баг связан с уязвимостью directory traversal, которая позволяет недоверенным источникам копировать файлы в папку, которая должна быть зарезервирована только для доверенного кода от Google Play. Это подрывает ключевую защиту Android, которая должна запрещать одному приложению доступ к данным и коду другого приложения.

Google закрыла баг в библиотеке в апреле, но разработчики приложений должны скачать новую версию библиотеки и вставить её в код. Исследование Check Point показывает, что многие разработчики делать этого не стали. В результате можно вставить код в банковские приложения для перехвата данных на вход и красть коды двухфакторной авторизации; вставлять код в корпоративные приложения для получения доступа к сетям; код в приложениях социальных сетей позволяет шпионить за пользователями и отслеживать местоположение устройств; код в мессенджерах даёт возможность читать все сообщения и отправлять их от лица жертвы.

В качестве доказательства специалисты Check Point при помощи вредоносного приложения украли куки авторизации из старой версии браузера Chrome. С ними они смогли получить доступ к аккаунту Dropbox.

Было обнаружено 14 уязвимых приложений с суммарным количеством загрузок почти 850 млн. Через несколько часов после публикации отчёта некоторые из этих приложений были обновлены. На долю только Edge, XRecorder и PowerDirector приходится 160 млн. установок.