Check Point Research-eko segurtasun ikertzaileek Play Store-ko Android aplikazio ezagunak adabakirik gabe jarraitzen duten arazo baten berri eman dute. Hori dela eta, hacker-ek kokapen-datuak lor ditzakete Instagrametik, Facebook-en mezuak alda ditzakete eta WeChat-eko erabiltzaileen korrespondentzia ere irakur dezakete.
Askoren ustez, aplikazioak azken bertsiora aldian-aldian eguneratzeak intrusioen erasoetatik modu fidagarrian babestea ahalbidetzen du. Hala ere, egia esan, hori ez da kasu guztietan gertatzen. Check Pointeko ikertzaileek aurkitu zuten Facebook, Instagram eta WeChat bezalako aplikazioetako adabakiak ez zirela Play Store-n benetan aplikatu. Hori deskubritu zen Android aplikazio ezagun batzuen azken bertsioak hilabetez eskaneatu ondoren, garatzaileek ezagutzen zituzten ahultasunen bila. Ondorioz, egiaztatu ahal izan zen aplikazio batzuen eguneraketak erregularki egin arren, ahulguneak irekita jarraitzen dutela, kode arbitrarioa exekutatu ahal izateko aplikazioen gaineko kontrol administratiboa lortzeko.
Aipatutako aplikazioen azken bertsioen analisi gurutzatu batek RCEren hiru ahultasunen presentziagatik, zaharrena 2014koa da, Facebook, Instagram eta WeChat-en kode ahulen presentzia erakutsi zuen. Egoera hau mugikorretarako aplikazioek hamaika osagai berrerabilgarri erabiltzen dituztelako sortzen da, liburutegi natiboak deitzen direnak eta kode irekiko proiektuetan oinarrituta sortzen direnak. Liburutegi horiek ahultasuna aurkitzen den unean haietarako sarbiderik ez duten hirugarren garatzaileek sortzen dituzte. Hori dela eta, aplikazio batek kodearen bertsio zaharkitu bat erabil dezake urteetan zehar, nahiz eta bertan ahultasunak aurkitu.
Ikertzaileek uste dute Google-k arreta handiagoa jarri beharko liokeela garatzaileek beren produktuetarako kaleratzen dituzten eguneraketak kontrolatzeari. Hirugarrenen garatzaileek idatzitako osagaiak eguneratzeko prozesua ere kontrolatu behar da.
Check Pointeko ordezkariek atzemandako arazoen berri eman diete Facebook, Instagram eta WeChat aplikazio mugikorren garatzaileei, baita Googleri ere. Erabiltzaileei gomendatzen zaie tresna mugikor batean aplikazio zaurgarriak kontrola ditzaketen birusen aurkako softwarea erabiltzea.
Iturria: 3dnews.ru