Эксперты компании Check Point обнаружили, что многие популярные приложения из Google Play Store, включая Facebook, Instagram и WeChat, по-прежнему уязвимы перед старыми проблемами. Дело в том, что разработчики зачастую не обновляют сторонние компоненты своих продуктов.
Исследователи Check Point Research провели перекрестный анализ последних версий популярнейших приложений на наличие трех известных RCE-уязвимостей (удаленное выполнение кода), датированных 2014, 2015 и 2016 годами. Все эти баги были выявлены в широко используемых сторонних библиотеках, и давно исправлены. Проблема заключается в том, что разработчики часто используют в работе фрагменты опенсорсных проектов и опенсорсные решения, однако потом не утруждают себя их регулярным обновлением.
Одной из уязвимостей, которую искали эксперты, была CVE-2014-8962: переполнение буфера в аудиокодеке libFLAC, которое можно использовать для выполнения произвольного кода или DoS-атак. Для этого достаточно убедить пользователя открыть специально созданный файл FLAC в приложении, использующем уязвимую версию libFLAC. Как выяснилось, CVE-2014-8962 по-прежнему присутствует в приложении потоковой передачи музыки LiveXLive, приложении голосового управления Moto Voice для устройств Motorola и различных приложениях Yahoo. Все эти приложения были загружены из Google Play миллионы или десятки миллионов раз.
Вторая уязвимость, это CVE-2015-8271. Она затрагивает RTMPDump и тоже может также использоваться для выполнения произвольного код. Уязвимость была обнаружена в библиотеках, используемых в приложениях Facebook, Facebook Messenger, Lenovo SHAREit, Mobile Legends: Bang Bang, Smule, JOOX Music и WeChat. Первые три приложения имеют более одного миллиарда загрузок в Google Play, а остальные более 100 000 000 загрузок.
Наконец, исследователи проверили приложения на наличие третьей уязвимости — CVE-2016-3062, которая связана с библиотекой Libav и позволяет удаленно выполнить произвольный код или устроить DoS-атаку через специально созданные файлы мультимедиа. Библиотека, содержащая эту уязвимость, была выявлена в приложениях AliExpress, Video MP3 Converter, Lazada, VivaVideo, Smule, JOOX Music, Retrica и TuneIn, которые загружены в Google Play более 100 000 000 раз.
«Всего три уязвимости, исправленные более двух лет назад, делают сотни приложений потенциально уязвимыми для удаленного выполнения кода. Можете представить, сколько популярных приложений может атаковать злоумышленник, если он будет искать в Google Play сотни известных уязвимостей?», — пишут исследователи.
Также специалисты компании задаются вопросом, почему за этим не следит Google? Эксперты полагают, что компания должна заставлять разработчиков приложений своевременно обновлять приложения, и в том числе используемый в них сторонний код.
Исследователи Check Point Research провели перекрестный анализ последних версий популярнейших приложений на наличие трех известных RCE-уязвимостей (удаленное выполнение кода), датированных 2014, 2015 и 2016 годами. Все эти баги были выявлены в широко используемых сторонних библиотеках, и давно исправлены. Проблема заключается в том, что разработчики часто используют в работе фрагменты опенсорсных проектов и опенсорсные решения, однако потом не утруждают себя их регулярным обновлением.
Одной из уязвимостей, которую искали эксперты, была CVE-2014-8962: переполнение буфера в аудиокодеке libFLAC, которое можно использовать для выполнения произвольного кода или DoS-атак. Для этого достаточно убедить пользователя открыть специально созданный файл FLAC в приложении, использующем уязвимую версию libFLAC. Как выяснилось, CVE-2014-8962 по-прежнему присутствует в приложении потоковой передачи музыки LiveXLive, приложении голосового управления Moto Voice для устройств Motorola и различных приложениях Yahoo. Все эти приложения были загружены из Google Play миллионы или десятки миллионов раз.
Вторая уязвимость, это CVE-2015-8271. Она затрагивает RTMPDump и тоже может также использоваться для выполнения произвольного код. Уязвимость была обнаружена в библиотеках, используемых в приложениях Facebook, Facebook Messenger, Lenovo SHAREit, Mobile Legends: Bang Bang, Smule, JOOX Music и WeChat. Первые три приложения имеют более одного миллиарда загрузок в Google Play, а остальные более 100 000 000 загрузок.
Наконец, исследователи проверили приложения на наличие третьей уязвимости — CVE-2016-3062, которая связана с библиотекой Libav и позволяет удаленно выполнить произвольный код или устроить DoS-атаку через специально созданные файлы мультимедиа. Библиотека, содержащая эту уязвимость, была выявлена в приложениях AliExpress, Video MP3 Converter, Lazada, VivaVideo, Smule, JOOX Music, Retrica и TuneIn, которые загружены в Google Play более 100 000 000 раз.
«Всего три уязвимости, исправленные более двух лет назад, делают сотни приложений потенциально уязвимыми для удаленного выполнения кода. Можете представить, сколько популярных приложений может атаковать злоумышленник, если он будет искать в Google Play сотни известных уязвимостей?», — пишут исследователи.
Также специалисты компании задаются вопросом, почему за этим не следит Google? Эксперты полагают, что компания должна заставлять разработчиков приложений своевременно обновлять приложения, и в том числе используемый в них сторонний код.
