Istraživači sigurnosti iz Check Point Research-a izvijestili su o problemu u kojem popularne Android aplikacije iz Play trgovine ostaju nezakrpljene. Zbog toga hakeri mogu dobiti podatke o lokaciji sa Instagrama, mijenjati poruke na Facebooku, ali i čitati prepisku WeChat korisnika.
Mnogi vjeruju da vam redovno ažuriranje aplikacija na najnoviju verziju omogućava pouzdanu zaštitu od napada uljeza. Međutim, u stvarnosti se pokazalo da se to ne dešava u svim slučajevima. Istraživači Check Pointa otkrili su da zakrpe u aplikacijama kao što su Facebook, Instagram i WeChat zapravo nisu primijenjene u Play Store-u. Ovo je otkriveno skeniranjem najnovijih verzija brojnih popularnih Android aplikacija tokom mjesec dana u potrazi za ranjivostima kojih su programeri bili svjesni. Kao rezultat toga, bilo je moguće utvrditi da uprkos redovnim ažuriranjima nekih aplikacija, ranjivosti ostaju otvorene koje omogućavaju izvršavanje proizvoljnog koda kako bi se dobila administrativna kontrola nad aplikacijama.
Unakrsna analiza najnovijih verzija navedenih aplikacija na prisustvo tri RCE ranjivosti, od kojih najstarija datira iz 2014. godine, pokazala je prisustvo ranjivog koda na Facebooku, Instagramu i WeChatu. Ova situacija nastaje zbog činjenice da mobilne aplikacije koriste desetke komponenti za višekratnu upotrebu, koje se nazivaju izvorne biblioteke i kreirane su na osnovu projekata otvorenog koda. Takve biblioteke kreiraju programeri treće strane koji im nemaju pristup u trenutku kada je ranjivost otkrivena. Zbog toga, aplikacija može godinama koristiti zastarjelu verziju koda, čak i ako se u njoj otkriju ranjivosti.
Istraživači vjeruju da bi Google trebao posvetiti više pažnje praćenju ažuriranja koja programeri objavljuju za svoje proizvode. Takođe treba kontrolisati proces ažuriranja komponenti koje su napisali programeri trećih strana.
Predstavnici Check Pointa prijavili su otkrivene probleme programerima mobilnih aplikacija Facebook, Instagram i WeChat, kao i Google. Korisnicima se preporučuje korištenje antivirusnog softvera koji može pratiti ranjive aplikacije na mobilnom uređaju.
izvor: 3dnews.ru