Эксперты компании Check Point выяснили, что многие популярные приложения для смартфонов долгие годы остаются уязвимы перед хакерскими атаками, несмотря на то, что они часто обновляются, и в них закрывают дыры безопасности.

Дело в том, что приложения используют общие библиотеки, в том числе те, поддержка которых давно завершилась или не осуществляет должным образом.

Уязвимыми остаются сотни приложений, в том числе очень популярные: Facebook, Facebook Messenger, Lenovo SHAREit, Mobile Legends: Bang Bang, Smule, JOOX Music и WeChat. В общей сложности они установлены на сотни миллионов устройств.

Специалисты выявили три уязвимости, через которые можно атаковать мобильные приложения, установленные на множестве устройств:

CVE-2014-8962 в библиотеке libFLAC — переполнение буфера в аудиокодеке, которое можно использовать для выполнения произвольного кода или DDoS-атак, если пользователь запустит заражённый аудиофайл. Уязвимы: приложение для потоковой передачи музыки LiveXLive, приложение голосового управления Moto Voice для устройств Motorola и разные приложения Yahoo.

CVE-2015-8271 в библиотеке RTMPDump — может также использоваться для удалённого выполнения произвольного кода на пользовательском устройстве. Уязвимы приложения Facebook, Facebook Messenger, Lenovo SHAREit, Mobile Legends: Bang Bang, Smule, JOOX Music и WeChat.

CVE-2016-3062 в библиотеке Libav — позволяет удаленно выполнить произвольный код или устроить DDoS-атаку через мультимедийные файлы. Уязвимы приложения AliExpress, Video MP3 Converter, Lazada, VivaVideo, Smule, JOOX Music, Retrica и TuneIn.

Это не новые уязвимости, о них было известно ещё в 2014 году, однако считалось, что они устранены в современных приложениях и могут встречаться лишь в устаревших версиях продуктов. Теперь выясняется, что это не так.

Все уязвимые приложения свободно доступны в Play Маркете и сторонних магазинах приложений. Проблема кроется в том, что разработчики используют фрагменты оупенсорсного кода и общедоступные библиотеки, не утруждая себя проверять их на наличие уязвимостей. Им не хочется копаться в стороннем коде, а из экономии ресурсов они не пишут собственный код, который был бы более защищённым.

Исследователи считают, что хакеры могут устраивать организованные атаки на пользователей устройств с приложениями, которые содержат уязвимости. С учётом масштаба проблемы это относительно просто, а последствия могут оказаться непредсказуемыми.




iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
У нас есть подкаст и его видео-версия

Источник:

Check Point Check Point