Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Разработчики используют устаревшие библиотеки с открытым кодом, в которых не закрыты давно известные дыры.
Эксперты Check Point обнаружили серьезные уязвимости в представленных на Google Play приложениях с сотнями миллионов загрузок, включая продукты Facebook и Yahoo. По словам исследователей, безопасные на первый взгляд Android-программы содержат глубинные баги, грозящие исполнением стороннего кода и DoS-атаками.
Опасность связана с низкоуровневыми библиотеками с открытым кодом, которые по умолчанию используются во многих приложениях. Разработчики добавляют их в свои проекты, не проверяя на наличие давно известных уязвимостей. В результате пользователи актуальных версий ПО получают ложное ощущение безопасности, оставаясь при этом беззащитными перед эксплойтами пятилетней давности.
В рамках исследования эксперты проверили Android-приложения на присутствие трех багов:
Каждая уязвимость в свое время получила соответствующую заплатку. Тем не менее, сигнатуры небезопасного кода были обнаружены в приложениях Facebook, Facebook Messenger, WeChat, AliExpress и многих других. Все продукты, которые исследователи указали в своей работе, имеют не менее 10 млн загрузок, а в некоторых случаях цифра превышает миллиард.
Специалисты сообщили о своих находках разработчикам, однако, по их словам, готовность разбираться в проблеме продемонстрировали только представители Google. Они попросили у исследователей время на расследование угрозы, которое продолжается до сих пор.
Журналистам ZDnet в Google сообщили, что текущее положение вещей также заставило их обновить программу по отлову уязвимостей в Android. Новые правила распространили систему вознаграждений на все приложения в Google Play с количеством загрузок более 100 млн.
В Facebook и Instagram заявили, что обнаруженные уязвимости либо не присутствуют в коде, либо нейтрализованы дополнительными защитными функциями. По словам исследователей, другие компании пока не прореагировали на информацию.
«Отслеживать обновления безопасности всех сторонних компонентов мобильного приложения — непростая задача, — признали эксперты. — Неудивительно, что лишь небольшая часть разработчиков выделяет на это ресурсы. Администраторы каталогов и специалисты по безопасности сканируют ПО на присутствие зловредных паттернов, однако давно известные критические уязвимости не получают должного внимания. К сожалению, у конечного пользователя в такой ситуации практически нет средств для надежной защиты своего устройства».
Ранее об угрозе сторонних модулей предупреждали аналитики Kaspersky, изучавшие безопасность промышленного ПО для удаленного доступа. Автор исследования обнаружил в распространенных на рынке решениях уязвимости, которые на протяжении десятков лет переходят из одной системы в другую.
Такая проблема характерна для всей сферы программной разработки. По подсчетам исследователей, в 2017–2018 годах применение библиотек с известными уязвимостями выросло на 120%. При этом более 60% разработчиков даже не могут точно сказать, какие именно модули с открытым кодом используются в их рабочих системах.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |