Эксперты Check Point обнаружили серьезные уязвимости в представленных на Google Play приложениях с сотнями миллионов загрузок, включая продукты Facebook и Yahoo. По словам исследователей, безопасные на первый взгляд Android-программы содержат глубинные баги, грозящие исполнением стороннего кода и DoS-атаками.

Опасность связана с низкоуровневыми библиотеками с открытым кодом, которые по умолчанию используются во многих приложениях. Разработчики добавляют их в свои проекты, не проверяя на наличие давно известных уязвимостей. В результате пользователи актуальных версий ПО получают ложное ощущение безопасности, оставаясь при этом беззащитными перед эксплойтами пятилетней давности.

В рамках исследования эксперты проверили Android-приложения на присутствие трех багов:

  • CVE-2014-8962 — уязвимость переполнения буфера в библиотеке libFLAC, позволяющая выполнить сторонний код с помощью специального аудиофайла;
  • CVE-2015-8271 — возможность удаленного исполнения кода в утилите RTMPDump 2.4, обеспечивающей загрузку и сохранение медиапотока на сервере RTMP;
  • CVE-2016-3062— дыра в библиотеках Libav и FFmpeg, приводящая к отказу в обслуживании или выполнению стороннего кода.

Каждая уязвимость в свое время получила соответствующую заплатку. Тем не менее, сигнатуры небезопасного кода были обнаружены в приложениях Facebook, Facebook Messenger, WeChat, AliExpress и многих других. Все продукты, которые исследователи указали в своей работе, имеют не менее 10 млн загрузок, а в некоторых случаях цифра превышает миллиард.

Специалисты сообщили о своих находках разработчикам, однако, по их словам, готовность разбираться в проблеме продемонстрировали только представители Google. Они попросили у исследователей время на расследование угрозы, которое продолжается до сих пор.

Журналистам ZDnet в Google сообщили, что текущее положение вещей также заставило их обновить программу по отлову уязвимостей в Android. Новые правила распространили систему вознаграждений на все приложения в Google Play с количеством загрузок более 100 млн.

В Facebook и Instagram заявили, что обнаруженные уязвимости либо не присутствуют в коде, либо нейтрализованы дополнительными защитными функциями. По словам исследователей, другие компании пока не прореагировали на информацию.

«Отслеживать обновления безопасности всех сторонних компонентов мобильного приложения — непростая задача, — признали эксперты. — Неудивительно, что лишь небольшая часть разработчиков выделяет на это ресурсы. Администраторы каталогов и специалисты по безопасности сканируют ПО на присутствие зловредных паттернов, однако давно известные критические уязвимости не получают должного внимания. К сожалению, у конечного пользователя в такой ситуации практически нет средств для надежной защиты своего устройства».

Ранее об угрозе сторонних модулей предупреждали аналитики Kaspersky, изучавшие безопасность промышленного ПО для удаленного доступа. Автор исследования обнаружил в распространенных на рынке решениях уязвимости, которые на протяжении десятков лет переходят из одной системы в другую.

Такая проблема характерна для всей сферы программной разработки. По подсчетам исследователей, в 2017–2018 годах применение библиотек с известными уязвимостями выросло на 120%. При этом более 60% разработчиков даже не могут точно сказать, какие именно модули с открытым кодом используются в их рабочих системах.

Категории: Аналитика, Главное, Уязвимости