谷歌的Android应用程序中的安全错误将用户的数据置于风险

2021-06-17 23:40:39

Sergey Toshin,Mobile App安全启动的创始人超越,在博客文章中表示,漏洞与Google App如何依赖于未与应用程序捆绑在一起的代码有关。许多Android应用程序包括Google App,减少了他们的下载大小和通过依赖于安装在Android手机上安装的代码库所需的存储空间。

但Google App的代码中的缺陷意味着它可以被欺骗,可以欺骗从同一设备上的恶意应用程序而不是合法的代码库中删除代码库,允许恶意应用程序继承Google应用程序的权限并授予它近乎完全访问对用户的数据。该访问包括访问用户的Google帐户,搜索历史记录,电子邮件,短信,联系人和呼叫历史记录,以及能够触发麦克风和相机,并访问用户的位置。

Toshin说,该恶意应用程序将不得不推动一次对工作的攻击,但攻击发生在没有受害者的知识或同意。他说,删除恶意应用程序不会从谷歌应用程序中删除恶意组件。

谷歌发言人告诉TechCrunch,该公司上个月修复了漏洞,并且没有证据表明缺陷已被攻击者利用。 Android内置的恶意软件扫描仪Google Play Protect,旨在阻止恶意应用程序安装。但没有安全功能是完美的,并且恶意应用程序之前已通过其网。

Toshin表示,Google App漏洞类似于今年早些时候在Tiktok启动中发现的另一个错误,这可能允许攻击者窃取Tiktok用户的会话令牌来控制他们的帐户。

过度发现已经找到了其他几种类似的漏洞,包括Android的Google Play应用程序和更多最近的应用程序预先安装在三星手机上。