Popolare app su Google Play legate a esecuzione di codice remoto bug

0
161

Charlie Osborne

Da Charlie Osborne

per Zero-Day

| 21 novembre 2019 — 11:11 GMT (le 11:11 GMT)

| Argomento: Sicurezza

Bill Gates: ho incasinato di Microsoft possibilità di battere Android
Co-fondatore di Microsoft Bill Gates dice il caso antitrust smesso di Microsoft fornitura di un sistema operativo mobile.

Le ultime versioni di app popolari ospitato su Google Play sono harboring le vulnerabilità conosciute che potrebbe essere soggetto agli utenti di Esecuzione di Codice Remoto (RCE), gli attacchi.

Quando si scarica un app dal repository ufficiali, possiamo assumere che gli aggiornamenti di sicurezza sono già stati applicati — o una volta installato, gli aggiornamenti software vengono assicurati che l’app è up-to-date con le correzioni. Tuttavia, il giovedì, la sicurezza informatica, i ricercatori dal Check Point ha detto che le patch rilasciate per risolvere anni di difetti per applicazioni popolari non sono state applicate le versioni disponibili in Google Play.

In un post sul blog, Check Point documentato i risultati di un mese di studio, condotto in Maggio, alla presenza delle vulnerabilità note popolari applicazioni mobili. I risultati ha suggerito che l’uso di componenti di terze parti e open source risorse, comprese le biblioteche, possono avere portato a vecchio, codice vulnerabile ancora di essere presenti in app.

“Quando viene rilevata una vulnerabilità e fisso in un progetto open source, il suo manutentori in genere non hanno alcun controllo sulle librerie native, che possono essere interessati dalla vulnerabilità, né le apps utilizzo di queste librerie native,” Check Point, dice. “Questo è il modo in cui l’app può continuare a utilizzare la versione aggiornata del codice, anche anni dopo la vulnerabilità.”

In particolare, i ricercatori hanno esaminato il mobile in questione per tre RCE vulnerabilità di incontri a partire dal 2014, 2015 e 2016. Ogni bug è stato assegnato a due firme e le centinaia di applicazioni sono state acquisite nel Google Play Store.

La prima vulnerabilità acquisita per, registrato come CVE-2014-8962, è descritto come uno stack-based buffer overflow problema in libFLAC prima 1.3.1 che permette agli aggressori di ottenere RCE via di un predisposto .file flac.

Vedi anche: Android difetto consente applicazioni rogue scattare foto, registrare video, anche se il telefono è bloccato

Il codec audio FLAC vulnerabilità e librerie utilizzando il codice vulnerabile sono stati trovati in alcune applicazioni, tra cui LiveXLive, Moto Voice BETA, e quattro Yahoo! applicazioni — Transito, Browser, Mappa, e la navigazione in Auto.

screenshot-2019-11-21-at-11-13-14.png

La seconda vulnerabilità esaminato dal team è stato CVE-2015-8271, un RCE sfruttare in RTMPDump 2.4, che viene utilizzato per FFmpeg RTMP video in streaming. Questo vecchio bug era connesso apps tra cui Facebook, Facebook Messenger, ShareIt, e WeChat.

screenshot-2019-11-21-at-11-13-22.png

Il finale falla di sicurezza, CVE-2016-3062, è una funzione problema in Libav prima 11.7 e FFmpeg prima 0.11, che può essere sfruttata per causare attacchi di tipo denial-of-service (DoS) o RCE.

Le applicazioni su Google Play Store incluso AliExpress, il Video Convertitore di MP3, e Lazada si crede di essere colpiti. Tutte le applicazioni citate sono stato scaricato milioni di volte.

screenshot-2019-11-21-at-11-13-29.png

Quando si tratta di questa vulnerabilità, l’Instagram applicazione, inoltre, è originariamente apparso di essere influenzati dal Libav falla di sicurezza. Tuttavia, quando il Check-Point collegato a Instagram team di sicurezza per discutere la scansione, lo Instagram squadra ha detto:

“Confusamente c’erano due diverse patch creata per questo problema, uno per FFmpeg 7 anni fa (e non era un CVE) e uno per libav 3 anni fa (che era un CVE), e poi sembra che FFmpeg tirato la seconda correzione da libav e ora porta le due patch, mentre uno sarebbe sufficiente.”

CNET: Il miglior password manager per il 2019 e il loro utilizzo

Nonostante tutte queste vulnerabilità fisso di anni fa, a causa di errori di aggiornamento invecchiamento librerie, si potrebbe rimanere un rischio per gli utenti di oggi se gli sviluppatori non si applicano a loro.

“Per tenere traccia di tutti gli aggiornamenti di sicurezza in tutte le componenti esterni di un sofisticato mobile app è un compito noioso, e non è una sorpresa che alcuni manutentori sono disposti a spendere lo sforzo,” Check Point, dice. “Mobile app store e i ricercatori di sicurezza di fare in modo proattivo la scansione di applicazioni malware modelli, ma dedicare meno attenzione a lunga nota vulnerabilità critiche. Purtroppo, questo significa che c’è non tanto l’utente finale può fare per tenere il suo dispositivo mobile completamente sicuro.”

Check Point di Ricerca notificati gli sviluppatori di applicazioni vulnerabili, insieme a Google. Google ha chiesto che la ricerca data di pubblicazione è stata posticipata di due settimane per dare il tempo di indagare, di cui Check Point accettato.

Parlando di ZDNet, Check Point ricercatore Slava Makkaveev ha detto:

“Abbiamo riportato i nostri risultati pertinenti apps sviluppatori, ma nessuno rispose con informazioni sui pianificato o applicate correzioni. Siamo spiacenti, non hanno ancora informazioni circa gli aggiornamenti rilasciati.”

“Check Point ha raggiunto fuori a noi su questo problema e ci ha informato che ha colpito gli sviluppatori sono stati notificati. Attualmente stiamo lavorando per indagare le loro scoperte,” un portavoce di Google ha detto di ZDNet. “Inoltre, abbiamo recentemente ampliato la portata del nostro Google Play Sicurezza Programma di Ricompensa per incoraggiare la collaborazione tra gli sviluppatori di app e la sicurezza della comunità.”

TechRepublic: Come proteggersi dagli hacker? IBM ingegnere sociale offre il suo consiglio

Facebook contestato i risultati, che ci dice: “Persone che utilizzano Facebook servizi non sono vulnerabili a eventuali problemi evidenziati da Check Point grazie al design dei nostri sistemi di utilizzare questo codice”.

Nelle notizie correlate di questa settimana, i ricercatori Checkmarx vulnerabilità divulgate nell’ecosistema Android, che potrebbe essere sfruttato per dirottare telecamere smartphone di nascosto prendere le immagini e i video, anche se un dispositivo è bloccato. Google ha confermato l’esistenza di falle di sicurezza e rilasciato una patch per risolvere i bug.

Precedente e relativa copertura

Chameleon applicazioni di gioco d’azzardo cancellato da App Store, Google Play
Di gioco, foto, applicazioni in Google Play infettare i dispositivi Android con malware
Questo è il modo dannoso Android apps evitare di sicurezza di Google di accertamento

Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0

Argomenti Correlati:

Mobilità

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

Charlie Osborne

Da Charlie Osborne

per Zero-Day

| 21 novembre 2019 — 11:11 GMT (le 11:11 GMT)

| Argomento: Sicurezza