Библиотека Play Core очень популярна, поскольку ее могут использовать разработчики приложений для загрузки и установки обновлений, размещенных в Play Store, модулей, языковых пакетов или даже других приложений.
Ранее в этом году исследователи безопасности из Oversecured обнаружили серьезную уязвимость (CVE-2020-8913) в библиотеке Play Core, эксплуатация которой позволяла установленному на устройстве пользователя вредоносному ПО внедрить мошеннический код в другие приложения и похитить конфиденциальные данные, таких как пароли, фотографии, коды 2FA и пр. Google исправила проблему в версии Play Core 1.7.2 еще в марте нынешнего года, однако, как оказалось, не все разработчики обновили библиотеку Play Core.
По результатам сканирования, проведенного Check Point, через шесть месяцев после выпуска обновления для Play Core, 13% от всех приложений в Google Play Store по-прежнему использовали данную библиотеку, и только 5% использовали обновленную (безопасную) версию. Среди приложений с наибольшим количеством пользователей, которым не удалось обновить библиотеку, Check Point выявила Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber и Booking.com.
Исследователи из Check Point уведомили разработчиков всех приложений о своих находках, однако даже три месяца спустя только Viber и Booking.com позаботились о применении исправления.