Даже после выпуска обновлений популярные приложения остаются неисправленными в интернет-каталоге Google Play Store, выяснили специалисты компании Check Point в рамках проведенного исследования. В частности, говорят они, злоумышленники могут получать данные о местоположении из Instagram, изменять сообщения в Facebook и читать сообщения в WeChat.
Считается, что, если пользователь регулярно обновляет используемые программы до свежих релизов, он защищен от хакерских атак, однако, как показала практика, это не так. Эксперты в течение месяца сканировали последние версии ряда наиболее популярных мобильных приложений на наличие ранее известных уязвимостей и выяснили, что «патчи в высококлассных приложениях — Facebook, Instagram, WeChat — фактически не были исправлены в Google Play Store».
В частности, приложения были исследованы на предмет трех критических уязвимостей, обнаруженных в 2014, 2015 и 2016 годах. Речь идет о проблемах CVE-2014-8962 (уязвимость переполнения буфера в версиях libFLAC ниже 1.3.1), CVE-2015-8271 (уязвимость удаленного выполнения кода в RTMPDump 2.4) и CVE-2016-3062 (затрагивает версии Libav до 11.7 и FFmpeg младше 0.11, может использоваться для DoS-атак или удаленного выполнения кода).
Согласно полученным результатам, уязвимость в аудиокодеке FLAC и библиотеки, использующие уязвимый код, были обнаружены в ряде приложений, в том числе LiveXLive и Moto Voice BETA, вторая уязвимость была выявлена в приложениях Facebook, Facebook Messenger, ShareIt и WeChat, а третья затрагивала приложения AliExpress, Video MP3 Converter и Lazada (с полным списком уязвимых приложений можно ознакомиться в
«Исследование доказывает, что злоумышленники все еще могут выполнять вредоносный код в последних версиях мобильных приложений в Google Play Store, несмотря на обновления, выпускаемые приложениями [...] Теоретически, хакеры могут перехватывать и изменять сообщения в Facebook, выгружать данные о местоположении из Instagram и читать SMS-сообщения в WeChat», - поясняют специалисты.
По их словам, популярные мобильные приложения обычно задействуют десятки повторно используемых компонентов, написанных на низкоуровневом языке, таком как C. Данные компоненты нередко создаются на основе проектов с открытым исходным кодом или включают фрагменты такого кода и, когда уязвимость устраняется в открытом проекте, его сопровождающие, как правило, не контролируют библиотеки и приложения, в которых этот код используется. Таким образом, приложение может продолжать использовать устаревшую версию кода даже спустя годы после обнаружения уязвимости, отметили специалисты.
Считается, что, если пользователь регулярно обновляет используемые программы до свежих релизов, он защищен от хакерских атак, однако, как показала практика, это не так. Эксперты в течение месяца сканировали последние версии ряда наиболее популярных мобильных приложений на наличие ранее известных уязвимостей и выяснили, что «патчи в высококлассных приложениях — Facebook, Instagram, WeChat — фактически не были исправлены в Google Play Store».
В частности, приложения были исследованы на предмет трех критических уязвимостей, обнаруженных в 2014, 2015 и 2016 годах. Речь идет о проблемах CVE-2014-8962 (уязвимость переполнения буфера в версиях libFLAC ниже 1.3.1), CVE-2015-8271 (уязвимость удаленного выполнения кода в RTMPDump 2.4) и CVE-2016-3062 (затрагивает версии Libav до 11.7 и FFmpeg младше 0.11, может использоваться для DoS-атак или удаленного выполнения кода).
Согласно полученным результатам, уязвимость в аудиокодеке FLAC и библиотеки, использующие уязвимый код, были обнаружены в ряде приложений, в том числе LiveXLive и Moto Voice BETA, вторая уязвимость была выявлена в приложениях Facebook, Facebook Messenger, ShareIt и WeChat, а третья затрагивала приложения AliExpress, Video MP3 Converter и Lazada (с полным списком уязвимых приложений можно ознакомиться в
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Check Point).«Исследование доказывает, что злоумышленники все еще могут выполнять вредоносный код в последних версиях мобильных приложений в Google Play Store, несмотря на обновления, выпускаемые приложениями [...] Теоретически, хакеры могут перехватывать и изменять сообщения в Facebook, выгружать данные о местоположении из Instagram и читать SMS-сообщения в WeChat», - поясняют специалисты.
По их словам, популярные мобильные приложения обычно задействуют десятки повторно используемых компонентов, написанных на низкоуровневом языке, таком как C. Данные компоненты нередко создаются на основе проектов с открытым исходным кодом или включают фрагменты такого кода и, когда уязвимость устраняется в открытом проекте, его сопровождающие, как правило, не контролируют библиотеки и приложения, в которых этот код используется. Таким образом, приложение может продолжать использовать устаревшую версию кода даже спустя годы после обнаружения уязвимости, отметили специалисты.