Google Play函式库漏洞可使Android App遭恶意程式注入

Check Point研究人员发现，许多知名App都会使用到的Google Play Store，存在一项函式库本机程式码执行漏洞 ，可能让到Android App被注入恶意程式码，造成网银密码或个资被窃取。

Google Core for Android函式库是受欢迎的App函式库，允许将App元件，如语言资源、功能模组或更新透过Google API下载到手机自动执行，而不需要用户动作，它也可以下载为特定手机和设定最佳化的资源（如图片大小、处理器架构、动态模组）以缩减apk的档案大小。许多知名App包括脸书、Chrome、WhatsApp等都使用Google Play Core函式库。

另一个关键在于Android沙箱的设计。为了确保Android手机不会任意执行恶意程式，每个Android应用程序的沙箱中都有2个资料夹，一个接收来自Google Play Store的“经验证”档案，另一个则接收其他资料源的“未验证”档案。由Play Store而来的档案写入经验证资料夹后，就会和Google Play Core函式库互动，而自动执行。其他来源的档案送到App沙箱，就会写入未验证资料夹中，且不会由Core函式库自动执行。

Check Point研究单位OverSecured解释，编号CVE-2020-8913的漏洞即出在Core函式库未能分辨合法或非法档案，让攻击者运用跨路径穿越(path traversal)手法进行攻击。当档案来源网站欲将档案推送到手机中某个App时，需要提供写入的档案路径，这时如果攻击者提供../verified_splits/my_evil_payload.apk进行跨路径穿越，就能将恶意执行档模组（my_evil_Payload.apk）透过Core 函式库写入到验证资料夹，然后注入到App中并自动执行。

研究人员指出，结果即是让合法App变成本机攻击武器，可能引发的攻击包括在网银App注入程式码以窃取帐密，利用简讯存取权窃取双因素验证码、藉企业App存取公司资源、利用社交App以监看用户行为、追踪装置所在、或是在讯息App注入程式码，以窃取资讯或冒充用户发讯息等。

Google已在今年4月6日修补Google Play Core函式库漏洞。问题是，修补程式必须由开发商推送到用户手机上的App，而不像服务器或云端App那么容易修补。对用户端App而言，每一家开发商都必须要拿到最新版函式库，再插入到App中。

根据SandBlast Mobile的分析，9月间Google Play Store上App所使用的函式库版本，仅13%使用新版本，8%用的是有漏洞的版本。

Check Point上周公布，多款App受CVE-2020-8913漏洞影响，包括Viber、Booking、Cisco Teams、Microsoft Edge浏览器、OkCupid、Grindr、Xrecorder及威力导演PowerDirector等。不过Viber、Booking、Cisco及Grindr已在周末前解决漏洞。