Les chercheurs en sécurité de Check Point Research ont signalé un problème empêchant les applications Android populaires du Play Store de ne pas être corrigées. Grâce à cela, les pirates peuvent obtenir des données de localisation sur Instagram, modifier les messages sur Facebook et également lire la correspondance des utilisateurs de WeChat.
Beaucoup pensent que la mise à jour régulière des applications vers la dernière version vous permet de vous protéger de manière fiable contre les attaques d'intrus. Cependant, en réalité, il s’est avéré que cela ne se produit pas dans tous les cas. Les chercheurs de Check Point ont découvert que les correctifs d’applications comme Facebook, Instagram et WeChat n’étaient pas réellement appliqués sur le Play Store. Cela a été découvert en analysant pendant un mois les dernières versions d'un certain nombre d'applications Android populaires à la recherche de vulnérabilités dont les développeurs étaient conscients. En conséquence, il a été possible d'établir que malgré les mises à jour régulières de certaines applications, des vulnérabilités restent ouvertes, permettant l'exécution de code arbitraire pour obtenir un contrôle administratif sur les applications.
Une analyse croisée des dernières versions des applications mentionnées pour la présence de trois vulnérabilités RCE, dont la plus ancienne remonte à 2014, a montré la présence de code vulnérable dans Facebook, Instagram et WeChat. Cette situation est due au fait que les applications mobiles utilisent des dizaines de composants réutilisables, appelés bibliothèques natives et créés sur la base de projets open source. Ces bibliothèques sont créées par des développeurs tiers qui n'y ont pas accès au moment où la vulnérabilité est découverte. De ce fait, une application peut utiliser une version obsolète du code pendant des années, même si des vulnérabilités y sont découvertes.
Les chercheurs estiment que Google devrait accorder plus d'attention à la surveillance des mises à jour publiées par les développeurs pour leurs produits. Le processus de mise à jour des composants écrits par des développeurs tiers doit également être contrôlé.
Les représentants de Check Point ont signalé les problèmes détectés aux développeurs d'applications mobiles Facebook, Instagram et WeChat, ainsi qu'à Google. Il est recommandé aux utilisateurs d'utiliser un logiciel antivirus capable de surveiller les applications vulnérables sur un gadget mobile.
Source: 3dnews.ru