Check Point Research компаниясынын коопсуздук боюнча изилдөөчүлөрү Play Store'догу таанымал Android колдонмолору жаңыртылбай калган көйгөй тууралуу билдиришти. Ушундан улам хакерлер Instagramдан жайгашкан жер тууралуу маалыматтарды ала алышат, Фейсбуктагы билдирүүлөрдү өзгөртө алышат, ошондой эле WeChat колдонуучуларынын кат алышууларын окуй алышат.
Көптөр тиркемелерди үзгүлтүксүз акыркы версияга жаңыртып туруу өзүңүздү зыянкечтердин чабуулдарынан ишенимдүү коргоого мүмкүндүк берет деп эсептешет. Бирок, иш жүзүндө бул бардык эле учурда боло бербейт экен. Check Point изилдөөчүлөрү Facebook, Instagram жана WeChat сыяктуу колдонмолордогу патчтар чынында Play Store'до колдонулбаганын аныкташкан. Бул бир ай бою бир катар популярдуу Android тиркемелеринин акыркы версияларын иштеп чыгуучулар билген чабал жактарын сканерлөө аркылуу табылган. Натыйжада, кээ бир тиркемелерди үзгүлтүксүз жаңыртууларга карабастан, тиркемелерди административдик көзөмөлгө алуу үчүн ыктыярдуу кодду аткарууга мүмкүндүк берген кемчиликтер ачык бойдон калганын аныктоого мүмкүн болду.
Эң эскиси 2014-жылга туура келген үч RCE алсыздыгынын бар экендиги үчүн аталган тиркемелердин акыркы версияларынын кайчылаш анализи Facebook, Instagram жана WeChat тармактарында аялуу коддун бар экенин көрсөттү. Бул жагдай мобилдик тиркемелер жергиликтүү китепканалар деп аталган жана ачык булак долбоорлорунун негизинде түзүлгөн ондогон көп жолу колдонулуучу компоненттерди колдонгонунан улам келип чыгат. Мындай китепканалар үчүнчү тараптын иштеп чыгуучулары тарабынан түзүлөт, алар алсыздык табылган учурда аларга кирүү мүмкүнчүлүгүнө ээ эмес. Ушундан улам, тиркеме коддун эскирген версиясын көп жылдар бою колдоно алат, ал тургай анда алсыздыктар табылган.
Изилдөөчүлөр Google иштеп чыгуучулар өз өнүмдөрү үчүн чыгарган жаңыртууларды көзөмөлдөөгө көбүрөөк көңүл бурушу керек деп эсептешет. Үчүнчү тараптын иштеп чыгуучулары тарабынан жазылган компоненттерди жаңылоо процесси да көзөмөлдөнүшү керек.
Check Point өкүлдөрү табылган көйгөйлөр тууралуу Facebook, Instagram жана WeChat мобилдик тиркемелерин иштеп чыгуучуларга, ошондой эле Google'га билдиришкен. Колдонуучуларга мобилдик гаджеттеги аялуу тиркемелерди көзөмөлдөй турган антивирустук программаны колдонуу сунушталат.
Source: 3dnews.ru