SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Популярные приложения на Google Play содержат уязвимости

24 ноября 2019 г., воскресенье, 10:29

Разработчики используют устаревшие библиотеки с открытым кодом, в которых не закрыты давно известные дыры.

Эксперты Check Point обнаружили серьезные уязвимости в представленных на Google Play приложениях с сотнями миллионов загрузок, включая продукты Facebook и Yahoo. По словам исследователей, безопасные на первый взгляд Android-программы содержат глубинные баги, грозящие исполнением стороннего кода и DoS-атаками.

Опасность связана с низкоуровневыми библиотеками с открытым кодом, которые по умолчанию используются во многих приложениях. Разработчики добавляют их в свои проекты, не проверяя на наличие давно известных уязвимостей. В результате пользователи актуальных версий ПО получают ложное ощущение безопасности, оставаясь при этом беззащитными перед эксплойтами пятилетней давности.

В рамках исследования эксперты проверили Android-приложения на присутствие трех багов:

  • CVE-2014-8962 — уязвимость переполнения буфера в библиотеке libFLAC, позволяющая выполнить сторонний код с помощью специального аудиофайла;
  • CVE-2015-8271 — возможность удаленного исполнения кода в утилите RTMPDump 2.4, обеспечивающей загрузку и сохранение медиапотока на сервере RTMP;
  • CVE-2016-3062— дыра в библиотеках Libav и FFmpeg, приводящая к отказу в обслуживании или выполнению стороннего кода.

Каждая уязвимость в свое время получила соответствующую заплатку. Тем не менее, сигнатуры небезопасного кода были обнаружены в приложениях Facebook, Facebook Messenger, WeChat, AliExpress и многих других. Все продукты, которые исследователи указали в своей работе, имеют не менее 10 млн загрузок, а в некоторых случаях цифра превышает миллиард.

Специалисты сообщили о своих находках разработчикам, однако, по их словам, готовность разбираться в проблеме продемонстрировали только представители Google. Они попросили у исследователей время на расследование угрозы, которое продолжается до сих пор.

Журналистам ZDnet в Google сообщили, что текущее положение вещей также заставило их обновить программу по отлову уязвимостей в Android. Новые правила распространили систему вознаграждений на все приложения в Google Play с количеством загрузок более 100 млн.

В Facebook и Instagram заявили, что обнаруженные уязвимости либо не присутствуют в коде, либо нейтрализованы дополнительными защитными функциями. По словам исследователей, другие компании пока не прореагировали на информацию.

«Отслеживать обновления безопасности всех сторонних компонентов мобильного приложения — непростая задача, — признали эксперты. — Неудивительно, что лишь небольшая часть разработчиков выделяет на это ресурсы. Администраторы каталогов и специалисты по безопасности сканируют ПО на присутствие зловредных паттернов, однако давно известные критические уязвимости не получают должного внимания. К сожалению, у конечного пользователя в такой ситуации практически нет средств для надежной защиты своего устройства».

Ранее об угрозе сторонних модулей предупреждали аналитики Kaspersky, изучавшие безопасность промышленного ПО для удаленного доступа. Автор исследования обнаружил в распространенных на рынке решениях уязвимости, которые на протяжении десятков лет переходят из одной системы в другую.

Такая проблема характерна для всей сферы программной разработки. По подсчетам исследователей, в 2017–2018 годах применение библиотек с известными уязвимостями выросло на 120%. При этом более 60% разработчиков даже не могут точно сказать, какие именно модули с открытым кодом используются в их рабочих системах.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.268
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.