Naukowcy z Check Point Research, zajmujący się bezpieczeństwem informacji, poinformowali o odkryciu problemu związanego z faktem, że popularne Android-приложения из магазина цифрового контента Play Store остаются неисправленными. Из-за этого хакеры могут получать данные о местоположении из Instagram, изменять сообщения в Facebook, а также читать переписку пользователей WeChat.
Многие считают, что регулярное обновление приложений до последней версии позволяет надёжно защититься от атак злоумышленников. Однако на деле оказалось, что так происходит не во всех случаях. Исследователи Check Point установили, что патчи в таких приложениях, как Facebook, Instagram и WeChat, фактически не были применены в Play Store. Выяснить это удалось благодаря сканированию в течение месяца последних версий ряда популярных Android-приложений на предмет наличия уязвимостей, о которых разработчикам было известно. В результате удалось установить, что несмотря на регулярные обновления некоторых приложений, остаются открытыми уязвимости, позволяющие выполнять произвольный код для получения административного контроля над приложениями.
Analiza krzyżowa najnowszych wersji wspomnianych aplikacji pod kątem obecności trzech luk RCE, z których najstarsza pochodzi z 2014 roku, wykazała obecność podatnego kodu na Facebooku, Instagramie i WeChat. Sytuacja ta wynika z faktu, że aplikacje mobilne wykorzystują dziesiątki komponentów wielokrotnego użytku, które nazywane są bibliotekami natywnymi i tworzone są w oparciu o projekty open source. Biblioteki takie są tworzone przez zewnętrznych programistów, którzy nie mają do nich dostępu w momencie wykrycia luki. Z tego powodu aplikacja może przez lata korzystać z nieaktualnej wersji kodu, nawet jeśli zostaną w niej wykryte luki.
Badacze uważają, że Google powinien zwracać większą uwagę na monitorowanie aktualizacji wydawanych przez programistów dla swoich produktów. Należy również kontrolować proces aktualizacji komponentów napisanych przez zewnętrznych programistów.
Przedstawiciele Check Point zgłosili wykryte problemy twórcom aplikacji mobilnych Facebook, Instagram i WeChat oraz Google. Użytkownikom zaleca się korzystanie z oprogramowania antywirusowego, które może monitorować podatne aplikacje na gadżecie mobilnym.
Źródło: 3dnews.ru
