Yüz milyonlarca indirmeye sahip Android uygulamaları, kötü amaçlı uygulamaların kişileri, giriş kimlik bilgilerini, özel mesajları ve diğer hassas bilgileri çalmasına izin veren saldırılara karşı savunmasız. Güvenlik firması CheckPoint, Edge Browser, XRecorder ve PowerDirector video editörünün etkilenenler arasında olduğunu söyledi.
Ağustos ayında, güvenlik firması Oversecured, Google Play çekirdek kütüphanesinde, yüklü bir uygulamanın savunmasız kütüphane sürümüne dayanan başka bir uygulama bağlamında kod yürütmesine izin veren bir güvenlik hatası açıkladı.
Bu güvenlik hatası aslında Google tarafından oluşturulan bir kod koleksiyonu olan Google Play çekirdek kütüphanesinde bulunuyor. Kütüphane, uygulamaların çalışma zamanı sırasında yeni sürümleri alarak ve güncellemeleri tek bir uygulamanın belirli yapılandırmasına veya uygulamanın çalıştığı belirli bir telefon modeline uyarlayarak güncelleme işlemini kolaylaştırmasına olanak tanıyor.
Güvenlik açığı, güvenilmeyen kaynakların yalnızca Google Play‘den alınan güvenilir kod için ayrılması gereken bir klasöre dosya kopyalamasına izin veren bir dizin geçişi kusurundan kaynaklanıyordu. Güvenlik açığı, Android işletim sisteminde yerleşik olarak bulunan ve bir uygulamanın başka bir uygulamaya ait verilere veya koda erişmesini engelleyen bir temel korumayı devre dışı bırakıyor.
Google, Nisan ayında kütüphane hatasını düzeltti, ancak savunmasız uygulamaların düzeltilmesi için geliştiricilerin önce güncellenmiş kütüphaneyi indirmesi ve ardından uygulama kodlarına dahil etmesi gerekiyor. Checkpoint‘in araştırma bulgularına göre, çok sayıda geliştirici savunmasız kütüphane sürümünü kullanmaya devam etti.