Drošības pētnieki no Check Point Research ir ziņojuši par problēmu, kuras dēļ populārās Android lietotnes no Play veikala joprojām nav labotas. Pateicoties tam, hakeri var iegūt atrašanās vietas datus no Instagram, mainīt ziņojumus Facebook, kā arī lasīt WeChat lietotāju saraksti.
Daudzi uzskata, ka regulāra lietojumprogrammu atjaunināšana uz jaunāko versiju ļauj droši pasargāt sevi no iebrucēju uzbrukumiem. Taču patiesībā izrādījās, ka tas nenotiek visos gadījumos. Check Point pētnieki atklāja, ka ielāpi tādās lietotnēs kā Facebook, Instagram un WeChat faktiski netika lietoti Play veikalā. Tas tika atklāts, mēnesi ilgusi skenējot vairāku populāru Android lietojumprogrammu jaunākās versijas, meklējot ievainojamības, par kurām izstrādātāji bija informēti. Rezultātā bija iespējams konstatēt, ka, neskatoties uz dažu lietojumprogrammu regulāriem atjauninājumiem, ievainojamības joprojām ir atvērtas, kas ļauj izpildīt patvaļīgu kodu, lai iegūtu administratīvu kontroli pār lietojumprogrammām.
Minēto lietojumprogrammu jaunāko versiju savstarpējā analīze, lai noteiktu trīs RCE ievainojamības, no kurām vecākā ir datēta ar 2014. gadu, parādīja neaizsargāta koda klātbūtni Facebook, Instagram un WeChat. Šāda situācija rodas tāpēc, ka mobilajās lietojumprogrammās tiek izmantoti desmitiem atkārtoti lietojamu komponentu, ko sauc par vietējām bibliotēkām un tiek veidoti, pamatojoties uz atvērtā koda projektiem. Šādas bibliotēkas izveido trešo pušu izstrādātāji, kuriem ievainojamības atklāšanas brīdī tām nav piekļuves. Šī iemesla dēļ lietojumprogramma gadiem ilgi var izmantot novecojušu koda versiju, pat ja tajā tiek atklātas ievainojamības.
Pētnieki uzskata, ka Google vajadzētu pievērst lielāku uzmanību atjauninājumu uzraudzībai, ko izstrādātāji izlaiž saviem produktiem. Ir jākontrolē arī trešo pušu izstrādātāju rakstīto komponentu atjaunināšanas process.
Check Point pārstāvji par konstatētajām problēmām ziņoja mobilo aplikāciju Facebook, Instagram un WeChat, kā arī Google izstrādātājiem. Lietotājiem ieteicams izmantot pretvīrusu programmatūru, kas var pārraudzīt mobilā sīkrīka neaizsargātās lietojumprogrammas.
Avots: 3dnews.ru