Bezpečnostní výskumníci z Check Point Research nahlásili problém, kedy obľúbené aplikácie pre Android z Obchodu Play zostávajú neopravené. Vďaka tomu môžu hackeri získavať údaje o polohe z Instagramu, meniť správy na Facebooku a tiež čítať korešpondenciu používateľov WeChat.
Mnohí veria, že pravidelná aktualizácia aplikácií na najnovšiu verziu vám umožňuje spoľahlivo sa chrániť pred útokmi votrelcov. V skutočnosti sa však ukázalo, že sa to nedeje vo všetkých prípadoch. Výskumníci z Check Point zistili, že záplaty v aplikáciách ako Facebook, Instagram a WeChat v skutočnosti neboli aplikované v Obchode Play. Zistilo sa to pri mesačnom skenovaní najnovších verzií mnohých populárnych aplikácií pre Android, či neobsahujú chyby zabezpečenia, o ktorých vývojári vedeli. V dôsledku toho bolo možné zistiť, že napriek pravidelným aktualizáciám niektorých aplikácií zostávajú zraniteľné miesta otvorené, čo umožňuje spustenie ľubovoľného kódu na získanie administratívnej kontroly nad aplikáciami.
Krížová analýza najnovších verzií spomínaných aplikácií na prítomnosť troch RCE zraniteľností, z ktorých najstaršia pochádza z roku 2014, ukázala prítomnosť zraniteľného kódu na Facebooku, Instagrame a WeChat. Táto situácia vzniká v dôsledku toho, že mobilné aplikácie využívajú desiatky opakovane použiteľných komponentov, ktoré sa nazývajú natívne knižnice a sú vytvorené na základe open source projektov. Takéto knižnice vytvárajú vývojári tretích strán, ktorí k nim nemajú v čase odhalenia zraniteľnosti prístup. Z tohto dôvodu môže aplikácia roky používať zastaranú verziu kódu, aj keď sa v nej objavia slabé miesta.
Výskumníci sa domnievajú, že Google by mal venovať väčšiu pozornosť monitorovaniu aktualizácií, ktoré vývojári vydávajú pre svoje produkty. Kontrolovať by sa mal aj proces aktualizácie komponentov napísaných vývojármi tretích strán.
Zástupcovia Check Point nahlásili zistené problémy vývojárom mobilných aplikácií Facebook, Instagram a WeChat, ako aj Googlu. Používateľom sa odporúča používať antivírusový softvér, ktorý dokáže monitorovať zraniteľné aplikácie v mobilnom gadgete.
Zdroj: 3dnews.ru