Beveiligingsonderzoekers van Check Point Research hebben een probleem gemeld waarbij populaire Android-apps uit de Play Store ongepatcht blijven. Hierdoor kunnen hackers locatiegegevens van Instagram verkrijgen, berichten op Facebook wijzigen en ook de correspondentie van WeChat-gebruikers lezen.
Velen zijn van mening dat het regelmatig bijwerken van applicaties naar de nieuwste versie u in staat stelt uzelf op betrouwbare wijze te beschermen tegen aanvallen van indringers. In werkelijkheid bleek echter dat dit niet in alle gevallen gebeurt. Onderzoekers van Check Point ontdekten dat patches in apps als Facebook, Instagram en WeChat niet daadwerkelijk werden toegepast in de Play Store. Dit werd ontdekt door een maand lang de nieuwste versies van een aantal populaire Android-applicaties te scannen op kwetsbaarheden waarvan de ontwikkelaars op de hoogte waren. Als gevolg hiervan kon worden vastgesteld dat ondanks regelmatige updates van sommige applicaties er kwetsbaarheden open blijven die het mogelijk maken dat willekeurige code wordt uitgevoerd om administratieve controle over applicaties te krijgen.
Een kruisanalyse van de nieuwste versies van genoemde applicaties op de aanwezigheid van drie RCE-kwetsbaarheden, waarvan de oudste dateert uit 2014, toonde de aanwezigheid van kwetsbare code op Facebook, Instagram en WeChat aan. Deze situatie ontstaat doordat mobiele applicaties tientallen herbruikbare componenten gebruiken, die native bibliotheken worden genoemd en zijn gemaakt op basis van open source-projecten. Dergelijke bibliotheken worden gemaakt door externe ontwikkelaars die er geen toegang toe hebben op het moment dat de kwetsbaarheid wordt ontdekt. Hierdoor kan een applicatie jarenlang gebruik maken van een verouderde versie van de code, ook als daarin kwetsbaarheden worden ontdekt.
Onderzoekers zijn van mening dat Google meer aandacht moet besteden aan het monitoren van de updates die ontwikkelaars voor hun producten uitbrengen. Het proces van het updaten van componenten die zijn geschreven door externe ontwikkelaars moet ook worden gecontroleerd.
Vertegenwoordigers van Check Point rapporteerden de gedetecteerde problemen aan de ontwikkelaars van mobiele applicaties Facebook, Instagram en WeChat, evenals aan Google. Gebruikers wordt aangeraden antivirussoftware te gebruiken die kwetsbare applicaties op een mobiel gadget kan monitoren.
Bron: 3dnews.ru