Kerentanan pada Android memungkinkan aplikasi berbahaya untuk menyedot data sensitif dari aplikasi lain di perangkat yang sama.
Oversecured menemukan kelemahan ini di library Play Core yang banyak digunakan oleh Google untuk memfasilitasi pengembang memasukkan pembaruan dalam aplikasi dan fitur baru ke aplikasi Android mereka, seperti bahasa atau level game.
Aplikasi berbahaya di perangkat Android yang sama dapat mengeksploitasi kerentanan dengan menyuntikkan modul berbahaya ke aplikasi lain yang mengandalkan library untuk mencuri informasi pribadi, seperti kata sandi dan nomor kartu kredit.
Sergey Toshin, pendiri Oversecured, mengatakan kepada TechCrunch bahwa mengeksploitasi bug tersebut “cukup mudah”.
Perusahaan tersebut membuat aplikasi untuk membuktikannya, menggunakan beberapa baris kode untuk menguji kerentanan di Google Chrome Android, serta menggunakan versi pustaka Play Core yang rentan. Toshin mengatakan bahwa aplikasi tadi mampu mencuri riwayat penjelajahan korban, sandi, dan cookie.
Toshin juga mengatakan bug itu mempengaruhi beberapa aplikasi populer di Play Store Android.
Google telah mengonfirmasi bahwa bug tersebut berperingkat 8,8 dari 10,0, dan sekarang telah diperbaiki. “Kami menghargai peneliti yang melaporkan masalah ini kepada kami, dan hasilnya bug ini diperbaiki pada bulan Maret,” kata juru bicara Google.
Toshin mengatakan pengembang aplikasi harus memperbarui aplikasi mereka dengan library Play Core terbaru untuk menghilangkan ancaman.
Source : Techcrunch