Ақпараттық қауіпсіздік саласында жұмыс істейтін Check Point Research зерттеушілері танымал фактімен байланысты мәселенің анықталғанын хабарлады AndroidPlay Store дүкенінен алынған қолданбалар әлі де жаңартылмаған. Бұл хакерлерге Instagram-нан орналасқан жер туралы деректерді алуға, Facebook хабарламаларын өзгертуге және пайдаланушылардың WeChat әңгімелерін оқуға мүмкіндік береді.
Көпшілік қолданбаларды үнемі соңғы нұсқаға жаңарту зиянды шабуылдардан сенімді қорғаныс береді деп санайды. Алайда, іс жүзінде бұл әрқашан бола бермейді. Check Point зерттеушілері Facebook, Instagram және WeChat сияқты қолданбаларға арналған патчтардың Play Store дүкенінде іс жүзінде қолданылмағанын анықтады. Бұл бірнеше танымал қолданбалардың соңғы нұсқаларын бір ай бойы сканерлеу арқылы анықталды. Android- әзірлеушілерге белгілі осалдықтарға арналған қолданбалар. Нәтижесінде, кейбір қолданбаларға үнемі жаңартулар енгізілгеніне қарамастан, кодты еркін орындауға қолданбаларды әкімшілік бақылауға мүмкіндік беретін осалдықтардың ашық күйінде қалатыны анықталды.
Үш RCE осалдықтары үшін жоғарыда аталған қолданбалардың соңғы нұсқаларының кросс талдауы, олардың ең ескісі 2014 жылдан басталады, Facebook, Instagram және WeChat-та осал кодтың бар екенін анықтады. Бұл жағдай мобильді қолданбалар ашық бастапқы жобалардың үстіне құрылған жергілікті кітапханалар деп аталатын ондаған қайта пайдалануға болатын құрамдастарды пайдаланатындықтан туындайды. Бұл кітапханаларды осалдық анықталған кезде оларға қол жеткізе алмайтын үшінші тарап әзірлеушілері жасайды. Осыған байланысты қолданба осалдықтар табылса да, кодтың ескірген нұсқасын жылдар бойы пайдалануды жалғастыра алады.
Зерттеушілер Google әзірлеушілердің өз өнімдері үшін шығаратын жаңартуларды бақылауға көбірек көңіл бөлуі керек деп санайды. Үшінші тарап әзірлеушілері жазған компоненттерді жаңарту процесі де бақылануы керек.
Check Point өкілдері табылған мәселелер туралы Facebook, Instagram және WeChat, сондай-ақ Google сияқты мобильді қосымшаларды әзірлеушілерге хабарлады. Пайдаланушыларға мобильді құрылғыларындағы осал қолданбаларды бақылай алатын антивирустық бағдарламалық құралды пайдалану ұсынылады.
Ақпарат көзі: 3dnews.ru
