Saugumo tyrinėtojai iš „Check Point Research“ pranešė apie problemą, kai populiarios „Android“ programos iš „Play“ parduotuvės lieka nepataisytos. Dėl šios priežasties įsilaužėliai gali gauti vietos duomenis iš „Instagram“, keisti pranešimus „Facebook“, taip pat skaityti „WeChat“ vartotojų susirašinėjimus.
Daugelis mano, kad reguliariai atnaujindami programas į naujausią versiją galite patikimai apsisaugoti nuo įsibrovėlių atakų. Tačiau iš tikrųjų paaiškėjo, kad taip nutinka ne visais atvejais. „Check Point“ tyrėjai nustatė, kad tokių programų kaip „Facebook“, „Instagram“ ir „WeChat“ pataisos iš tikrųjų nebuvo pritaikytos „Play“ parduotuvėje. Tai buvo nustatyta mėnesį nuskaitant naujausias daugelio populiarių „Android“ programų versijas, ieškant pažeidžiamumų, apie kuriuos kūrėjai žinojo. Dėl to buvo galima nustatyti, kad nepaisant reguliarių kai kurių programų atnaujinimų, pažeidžiamumo vietos lieka atviros, leidžiančios vykdyti savavališką kodą, kad būtų galima administruoti programas.
Naujausių minėtų programų versijų kryžminė analizė dėl trijų RCE spragų, iš kurių seniausia datuojama 2014 m., parodė, kad „Facebook“, „Instagram“ ir „WeChat“ yra pažeidžiamas kodas. Tokia situacija susidaro dėl to, kad mobiliosiose aplikacijose naudojama daugybė daugkartinio naudojimo komponentų, kurie vadinami vietinėmis bibliotekomis ir yra kuriami remiantis atvirojo kodo projektais. Tokias bibliotekas kuria trečiųjų šalių kūrėjai, kurie neturi prieigos prie jų tuo metu, kai aptinkamas pažeidžiamumas. Dėl šios priežasties programa gali daugelį metų naudoti pasenusią kodo versiją, net jei joje aptinkama pažeidžiamumų.
Tyrėjai mano, kad „Google“ turėtų skirti daugiau dėmesio naujinimams, kuriuos kūrėjai leidžia savo produktams, stebėti. Taip pat turėtų būti kontroliuojamas trečiųjų šalių kūrėjų parašytų komponentų atnaujinimo procesas.
„Check Point“ atstovai apie pastebėtas problemas pranešė mobiliųjų aplikacijų „Facebook“, „Instagram“ ir „WeChat“ kūrėjams bei „Google“. Naudotojams rekomenduojama naudoti antivirusinę programinę įrangą, kuri gali stebėti pažeidžiamas programas mobiliojoje programėlėje.
Šaltinis: 3dnews.ru