Investigadores de Check Point Research, que trabajan en el campo de la seguridad de la información, informaron del descubrimiento de un problema relacionado con el hecho de que popular Android-приложения из магазина цифрового контента Play Store остаются неисправленными. Из-за этого хакеры могут получать данные о местоположении из Instagram, изменять сообщения в Facebook, а также читать переписку пользователей WeChat.
Многие считают, что регулярное обновление приложений до последней версии позволяет надёжно защититься от атак злоумышленников. Однако на деле оказалось, что так происходит не во всех случаях. Исследователи Check Point установили, что патчи в таких приложениях, как Facebook, Instagram и WeChat, фактически не были применены в Play Store. Выяснить это удалось благодаря сканированию в течение месяца последних версий ряда популярных Android-приложений на предмет наличия уязвимостей, о которых разработчикам было известно. В результате удалось установить, что несмотря на регулярные обновления некоторых приложений, остаются открытыми уязвимости, позволяющие выполнять произвольный код для получения административного контроля над приложениями.
Un análisis cruzado de las últimas versiones de las aplicaciones mencionadas para detectar la presencia de tres vulnerabilidades RCE, la más antigua de las cuales data de 2014, mostró la presencia de código vulnerable en Facebook, Instagram y WeChat. Esta situación surge debido a que las aplicaciones móviles utilizan decenas de componentes reutilizables, que se denominan bibliotecas nativas y se crean en base a proyectos de código abierto. Estas bibliotecas son creadas por desarrolladores externos que no tienen acceso a ellas en el momento en que se descubre la vulnerabilidad. Debido a esto, una aplicación puede utilizar una versión desactualizada del código durante años, incluso si se descubren vulnerabilidades en ella.
Los investigadores creen que Google debería prestar más atención al seguimiento de las actualizaciones que los desarrolladores lanzan para sus productos. También se debe controlar el proceso de actualización de componentes escritos por desarrolladores externos.
Los representantes de Check Point informaron de los problemas detectados a los desarrolladores de aplicaciones móviles Facebook, Instagram y WeChat, así como a Google. Se recomienda a los usuarios utilizar software antivirus que pueda monitorear aplicaciones vulnerables en un dispositivo móvil.
Fuente: 3dnews.ru
