Check Point研究人员发现,数以百计的跑马灯Android移动应用程序仍然包含漏洞,即使用户更新,该漏洞也允许远程执行代码。
大多数人认为,如果他们将自己的移动应用程序更新为最新版本,则还会修补一些严重的漏洞。Check Point Software的研究人员表示,事实并非如此,该公司发现过时的代码(包括已知漏洞)仍存在于Google Play商店中数百种流行的应用程序中,包括Facebook,Instagram,微信和Yahoo Browser。
Check Point安全研究员Slava Makkaveev透露:在为期一个月的研究中,Check Point Research交叉检查了这些和其他备受关注的移动应用程序的最新版本,发现三个自2014年,2015年和2016年已知的远程执行(RCE)漏洞。在星期四在线发布的研究中。
研究人员为每个漏洞分配了两个签名,然后运行一个静态引擎来检查Google Play商店中的数百个移动应用程序,以查看该应用程序的最新版本中是否存在旧的,易受攻击的代码。
他们发现的结果可能会令很多人感到意外:根据Makkaveev的说法,应用程序制造商声称已修补的严重漏洞仍然存在于最新版本的流行移动应用程序中。
他写道:“仅在两年前已修复的三个漏洞就使数百个应用程序容易受到远程代码执行的攻击。” “您能想象如果攻击者扫描Google Play上的一百个已知漏洞,攻击者可以针对多少个流行的应用程序进行攻击?”
根据Check Point的调查,研究证明,应用程序制造商推出的更新对于确保移动设备免受威胁的安全性不是安全的。
“从理论上讲,威胁参与者可以窃取和更改Facebook上的帖子,从Instagram提取位置数据,并在微信中读取SMS消息,” Check Point在给Threatpost的电子邮件中说。
对于谷歌来说,这项研究是个坏消息。谷歌一直努力让不良应用程序(某些冒充合法应用程序)无法进入Google Play。现在,即使用户努力保持最新状态,用户也必须与包含恶意代码的合法应用程序抗衡。
根据Check Point的说法,问题在于以可重用组件的形式出现的非常旧的代码(称为本机库)仍在移动应用程序上运行,并且通常无法通过更新进行修复。
Check Point研究的一部分集中在三个关键漏洞上。一个FLAC音频编解码器错误(CVE-2014-8962),一个FFmpeg RTMP视频流缺陷(CVE-2015-8271)和一个FFmpeg libavformat媒体处理问题(CVE-2016-3062)。
研究人员写道:“仅在两年前已修复的三个漏洞就使数百个应用程序容易受到远程代码执行的攻击。”
Makkaveev写道,该代码“通常来自开源项目,或者包含来自开源项目的代码片段。” “在开放源代码项目中发现并修复漏洞后,其维护者通常无法控制可能受该漏洞影响的本地库,也无法控制使用这些本地库的应用程序。”
他写道,以这种方式,即使在发现漏洞并表面上修复漏洞数年之后,应用程序仍可能继续使用过时的代码版本。
Makkaveev表示:“声明此类应用程序易受攻击可能有点夸大其词,因为它的流程可能永远不会到达受影响的库代码,但这肯定值得应用程序维护者进行深入调查。”
Check Point已通知负责其研究的应用程序的公司(包括Google)仍然容易受到攻击。该公司表示,目前,这家安全公司敦促人们安装防病毒应用程序,以监控其移动设备上的易受攻击的应用程序。
领取专属 10元无门槛券
私享最新 技术干货