پژوهشگران Check Point Research که در زمینه امنیت اطلاعات فعالیت میکنند، از کشف مشکلی در ارتباط با این واقعیت خبر دادند که برنامههای محبوب اندروید از فروشگاه محتوای دیجیتال پلی استور بدون اصلاح باقی میمانند. به همین دلیل، هکرها می توانند اطلاعات موقعیت مکانی را از اینستاگرام دریافت کنند، پیام ها را در فیس بوک تغییر دهند و همچنین مکاتبات کاربران وی چت را بخوانند.
بسیاری بر این باورند که به روز رسانی منظم برنامه ها به آخرین نسخه به شما این امکان را می دهد که به طور قابل اعتمادی از خود در برابر حملات مزاحمان محافظت کنید. با این حال، در واقعیت معلوم شد که در همه موارد این اتفاق نمی افتد. محققان Check Point دریافتند که وصلهها در برنامههایی مانند فیسبوک، اینستاگرام و وی چت در واقع در فروشگاه Play اعمال نمیشوند. این موضوع با اسکن آخرین نسخه تعدادی از برنامه های محبوب اندروید به مدت یک ماه برای آسیب پذیری هایی که توسعه دهندگان از آن آگاه بودند کشف شد. در نتیجه، این امکان وجود داشت که با وجود بهروزرسانیهای منظم برخی از برنامهها، آسیبپذیریهایی باز باقی میمانند که امکان اجرای کد دلخواه را برای به دست آوردن کنترل اداری روی برنامهها فراهم میکرد.
تجزیه و تحلیل متقابل آخرین نسخه از برنامه های کاربردی ذکر شده برای وجود سه آسیب پذیری RCE که قدیمی ترین آنها به سال 2014 باز می گردد، وجود کدهای آسیب پذیر در فیس بوک، اینستاگرام و وی چت را نشان داد. این وضعیت به دلیل این واقعیت است که برنامه های تلفن همراه از ده ها مؤلفه قابل استفاده مجدد استفاده می کنند که به آنها کتابخانه های بومی گفته می شود و بر اساس پروژه های منبع باز ایجاد می شوند. چنین کتابخانه هایی توسط توسعه دهندگان شخص ثالث ایجاد می شوند که در زمان کشف آسیب پذیری به آنها دسترسی ندارند. به همین دلیل، یک برنامه می تواند سال ها از نسخه قدیمی کد استفاده کند، حتی اگر آسیب پذیری هایی در آن کشف شود.
محققان معتقدند که گوگل باید توجه بیشتری به نظارت بر به روز رسانی هایی که توسعه دهندگان برای محصولات خود منتشر می کنند، داشته باشد. روند به روز رسانی اجزای نوشته شده توسط توسعه دهندگان شخص ثالث نیز باید کنترل شود.
نمایندگان چک پوینت مشکلات شناسایی شده را به توسعه دهندگان اپلیکیشن های موبایل فیسبوک، اینستاگرام و وی چت و همچنین گوگل گزارش دادند. به کاربران توصیه میشود از نرمافزار آنتیویروسی استفاده کنند که میتواند برنامههای آسیبپذیر را در یک ابزار موبایل نظارت کند.
منبع: 3dnews.ru