for Nul-Dag
| November 21, 2019 — 11:11 GMT (11:11 GMT)
| Emne: Sikkerhed
Bill Gates: jeg rodet op Microsofts chance for at slå Android
Microsoft-stifter Bill Gates siger, antitrust-sagen stoppede Microsoft at levere en mobil OS.
De nyeste versioner af populære apps, der hostes på Google Play er husly kendte sårbarheder, der kunne omfattet af brugere til Fjernkørsel af Programkode (RCE) angreb.
Når vi henter apps fra officielle arkiver, kan vi antage, at de sikkerhedsopdateringer, har allerede været anvendt — eller når det er installeret, software opdateringer sørg for, at app ‘ en er up-to-date med rettelser. Men torsdag, cybersecurity forskere fra Check Point, sagde, at de områder, der er udstedt for at løse år gamle fejl til populære applikationer, der ikke kan have været anvendt til versioner, der er tilgængelige i Google Play.
I et blog-indlæg, Check Point dokumenteret resultaterne af en måned-lang undersøgelse, der blev gennemført i Maj, i tilstedeværelse af kendte sårbarheder i populære mobile applikationer. Resultaterne antydede, at brugen af tredje-parts komponenter og open source ressourcer, herunder biblioteker, kan have medført, at gamle, sårbare koden stadig være til stede i apps.
“Når en svaghed er fundet og rettet i et open source projekt, sin vedligeholdere typisk ikke har kontrol over de indfødte biblioteker, der kan være berørt af sårbarheden, og heller ikke de apps der bruger disse indfødte biblioteker,” Check Point siger. “Dette er, hvordan en app kan fortsætte med at bruge en forældet version af koden, selv år efter, at den sårbarhed er opdaget.”
Specifikt, forskerne undersøgte de mobile apps i spørgsmål til tre RCE sårbarheder, der stammer fra 2014, 2015 og 2016. Enkelte fejl blev tildelt to underskrifter, og hundredvis af apps, blev scannet i Google Play Butik.
Den første svaghed er scannet for, spores som CVE-2014-8962, er beskrevet som en stak-baseret buffer overflow problem i libFLAC før 1.3.1 som giver fjernangribere at opnå RCE via et fabrikeret .flac fil.
Se også: Android fejl lader rogue apps, tage billeder, optage video, selvom telefonen er låst
FLAC-audio-codec sårbarhed og biblioteker ved hjælp af koden blev fundet i apps, herunder LiveXLive, Moto Stemme BETA, og fire Yahoo! apps — Transit, Browser, Kort og navigation i Bil.
Den anden svaghed er undersøgt af holdet var CVE-2015-8271, en RCE udnytte i RTMPDump 2.4, som anvendes til FFmpeg RTMP video streaming. Denne gamle fejl, der blev oprettet forbindelse til apps, herunder Facebook, Facebook Messenger, ShareIt, og WeChat.
Den endelige sikkerhedshul, CVE-2016-3062, er en funktion problem i Squid før 11.7 og FFmpeg før 0.11, som kan udnyttes til at forårsage lammelsesangreb (denial-of-service (DoS) eller RCE.
Apps på Google Play Butik, herunder AliExpress, Video MP3 Converter, og Lazada menes at blive påvirket. Alle de applikationer, der er nævnt blevet downloadet millioner af gange.
Når det kommer til denne sårbarhed, Instagram ansøgning også oprindeligt syntes at være påvirket af Libav-sikkerhedshul. Men når Check Point forbundet med Instagram sikkerhed team for at diskutere den scanning, Instagram holdet sagde:
“Forvirrende, at der var to forskellige patches der er oprettet til dette problem, en af FFmpeg for 7 år siden (der var ikke et CVE -) og en for gstreamer 3 år siden (som var et CVE), og så ser det ud til, at FFmpeg trak den anden fix ure og nu bærer både patches, mens enten man ville være tilstrækkeligt.”
CNET: De bedste password ledere til 2019, og hvordan du bruger dem
På trods af alle disse sikkerhedshuller bliver rettet år siden, på grund af manglende opdatering aging biblioteker, kan de fortsat være en risiko for, at nutidens brugere, hvis udviklere ikke at anvende dem.
“At holde styr på alle de sikkerhedsopdateringer, i alle eksterne komponenter af en sofistikeret mobil app er en kedelig opgave, og det er ingen overraskelse at få vedligeholdere er villige til at forbruge kræfter,” Check Point siger. “Mobile app stores og sikkerhedseksperter gør proaktivt scan apps for malware mønstre, men bruge mindre opmærksomhed på lange kendte kritiske sårbarheder. Dette betyder desværre, der er ikke meget at slutbrugeren kan gøre for at holde sin mobile enhed er helt sikker.”
Check Point Forskning meddelt udviklerne af sårbare programmer, sammen med Google. Google har anmodet om, at forskning offentliggørelsen blev udsat i to uger til at give virksomheden tid til at undersøge, som Check Point accepteret.
Tale til ZDNet, Check Point forsker Slava Makkaveev sagde:
“Vi har indberettet vores resultater til relevante apps’ udviklere, men ingen svarede med oplysninger om planlagte eller anvendes rettelser. Vi har i øjeblikket stadig ikke har oplysninger om udstedte rettelser.”
“Check Point nåede ud til os om dette problem, og meddelte os, at der er berørt udviklere har været meddelt. Vi arbejder i øjeblikket på at undersøge deres resultater,” en Google-talsmand fortalte ZDNet. “Derudover har vi for nylig udvidet omfanget af vores Google Play, Sikkerhed Reward Program på yderligere at fremme samarbejde mellem app-udviklere og-sikkerhed samfund.”
TechRepublic: Hvordan kan du beskytte dig mod hackere? En IBM social ingeniør rådgivning
Facebook omstridte resultaterne, fortæller os, at “Mennesker, der bruger Facebook tjenester er ikke sårbare over for nogen af de spørgsmål, der fremhæves ved Check Point på grund af udformningen af vores systemer, der bruger denne kode.”
I relaterede nyheder i denne uge, forskere fra Checkmarx videregives sårbarheder i Android-systemet, som kan udnyttes til at kapre smartphone skjulte kameraer til at tage billeder og videoer, selv hvis en enhed er låst. Google har bekræftet eksistensen af de sikkerhedshuller, og udsendt en patch til at løse bugs.
Tidligere og relaterede dækning
Kamæleon gambling apps udslettet fra App Store, Google Play
Gaming -, foto-apps i Google Play inficere Android-telefoner med malware
Dette er, hvordan skadelige Android-apps undgå Google ‘ s sikkerhedsgodkendelse
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 21, 2019 — 11:11 GMT (11:11 GMT)
| Emne: Sikkerhed