Приложения Facebook, Instagram и WeChat не обновляются в Google Play Store

Даже после выпуска обновлений популярные приложения остаются неисправленными в интернет-каталоге Google Play Store, выяснили специалисты компании Check Point в рамках проведенного исследования. В частности, говорят они, злоумышленники могут получать данные о местоположении из Instagram, изменять сообщения в Facebook и читать сообщения в WeChat.

Считается, что, если пользователь регулярно обновляет используемые программы до свежих релизов, он защищен от хакерских атак, однако, как показала практика, это не так. Эксперты в течение месяца сканировали последние версии ряда наиболее популярных мобильных приложений на наличие ранее известных уязвимостей и выяснили, что «патчи в высококлассных приложениях — Facebook, Instagram, WeChat — фактически не были исправлены в Google Play Store».

В частности, приложения были исследованы на предмет трех критических уязвимостей, обнаруженных в 2014, 2015 и 2016 годах. Речь идет о проблемах CVE-2014-8962 (уязвимость переполнения буфера в версиях libFLAC ниже 1.3.1), CVE-2015-8271 (уязвимость удаленного выполнения кода в RTMPDump 2.4) и CVE-2016-3062 (затрагивает версии Libav до 11.7 и FFmpeg младше 0.11, может использоваться для DoS-атак или удаленного выполнения кода).

Согласно полученным результатам, уязвимость в аудиокодеке FLAC и библиотеки, использующие уязвимый код, были обнаружены в ряде приложений, в том числе LiveXLive и Moto Voice BETA, вторая уязвимость была выявлена в приложениях Facebook, Facebook Messenger, ShareIt и WeChat, а третья затрагивала приложения AliExpress, Video MP3 Converter и Lazada (с полным списком уязвимых приложений можно ознакомиться в блоге Check Point).

«Исследование доказывает, что злоумышленники все еще могут выполнять вредоносный код в последних версиях мобильных приложений в Google Play Store, несмотря на обновления, выпускаемые приложениями [...] Теоретически, хакеры могут перехватывать и изменять сообщения в Facebook, выгружать данные о местоположении из Instagram и читать SMS-сообщения в WeChat», - поясняют специалисты.

По их словам, популярные мобильные приложения обычно задействуют десятки повторно используемых компонентов, написанных на низкоуровневом языке, таком как C. Данные компоненты нередко создаются на основе проектов с открытым исходным кодом или включают фрагменты такого кода и, когда уязвимость устраняется в открытом проекте, его сопровождающие, как правило, не контролируют библиотеки и приложения, в которых этот код используется. Таким образом, приложение может продолжать использовать устаревшую версию кода даже спустя годы после обнаружения уязвимости, отметили специалисты.