Check Point Research 的安全研究人員報告了一個問題,即 Play 商店中的熱門 Android 應用程式仍未修補。 正因為如此,駭客可以從 Instagram 取得位置數據,更改 Facebook 上的消息,還可以讀取微信用戶的通訊。
許多人認為,定期將應用程式更新到最新版本可以讓您可靠地保護自己免受入侵者的攻擊。 然而,事實證明,這種情況並非在所有情況下都會發生。 Check Point 研究人員發現 Facebook、Instagram 和微信等應用程式中的補丁實際上並未應用到 Play 商店中。 這是透過對一些流行 Android 應用程式的最新版本進行為期一個月的掃描以查找開發人員已知的漏洞而發現的。 因此,可以確定的是,儘管某些應用程式定期更新,但漏洞仍然存在,允許執行任意程式碼以獲得對應用程式的管理控制。
對上述應用程式最新版本是否存在三個 RCE 漏洞(其中最早的漏洞可以追溯到 2014 年)進行交叉分析,結果顯示 Facebook、Instagram 和微信中存在易受攻擊的程式碼。 出現這種情況的原因是行動應用程式使用了數十個可重複使用元件,這些元件稱為本機庫,是基於開源專案創建的。 此類庫由第三方開發人員創建,他們在發現漏洞時無權存取這些庫。 因此,應用程式可以使用過時的程式碼版本多年,即使其中發現了漏洞。
研究人員認為,Google應該更加關注監控開發者為其產品發布的更新。 更新第三方開發者所寫的元件的過程也應該受到控制。
Check Point 代表向行動應用程式 Facebook、Instagram 和微信以及 Google 的開發者報告了檢測到的問題。 建議使用者使用可以監控行動裝置上易受攻擊的應用程式的防毒軟體。
來源: 3dnews.ru