voor Zero Day
| 21 November 2019 — 11:11 GMT (11:11 GMT)
| Onderwerp: Security
Bill Gates: ik messed up van Microsoft de kans om te verslaan Android
Microsoft mede-oprichter Bill Gates zegt de antitrustzaak gestopt Microsoft het leveren van een mobiel OS.
De nieuwste versies van populaire apps gehost op Google Play zijn het herbergen van bekende kwetsbaarheden die kunnen onderhevig gebruikers tot Uitvoering van Externe Code (RCE) aanvallen.
Toen we bij het downloaden van apps uit de officiële repositories, kunnen we ervan uitgaan dat security updates zijn al toegepast — of als het eenmaal geïnstalleerd is, software updates zullen ervoor zorgen dat de app is up-to-date met de oplossingen. Echter, op donderdag cybersecurity onderzoekers van Check Point zei dat patches uitgegeven op te lossen jaar oud gebreken voor populaire toepassingen kan niet worden toegepast op versies die beschikbaar zijn in Google Play.
In een blog post, Check Point gedocumenteerd zijn het resultaat van een maand lang onderzoek, uitgevoerd in Mei, in de aanwezigheid van bekende kwetsbaarheden in populaire mobiele toepassingen. De resultaten suggereren dat het gebruik van third-party componenten en open source bronnen, waaronder bibliotheken, kan hebben geleid tot de oude, kwetsbare code nog steeds aanwezig in apps.
“Als er een kwetsbaarheid is gevonden en opgelost in een open source project, de beheerders hebben meestal geen controle over de native bibliotheken die kunnen worden beïnvloed door de kwetsbaarheid, noch de apps met behulp van deze native bibliotheken,” zegt Check Point. “Dit is hoe een app kan gebruik blijven maken van de verouderde versie van de code, zelfs jaren na de kwetsbaarheid is ontdekt.”
Specifiek, de onderzoekers de mobiele apps in kwestie voor drie RCE kwetsbaarheden dating vanaf 2014, 2015 en 2016. Elke bug is toegewezen twee handtekeningen en honderden apps werden gescand in de Google Play Store.
De eerste kwetsbaarheid gescand, bijgehouden, zoals CVE-2014-8962, wordt beschreven als een stack-based buffer overflow probleem in libFLAC voordat 1.3.1 die het mogelijk maakt de aanvallers te bereiken RCE via een gemaakt .flac-bestand.
Zie ook: Android fout kunt malafide apps foto ‘ s nemen, video opnemen, zelfs als uw telefoon is vergrendeld
De FLAC codec kwetsbaarheid en bibliotheken met de kwetsbare code werden gevonden in apps waaronder LiveXLive, Moto Stem BETA, en vier Yahoo! apps — Transit, Browser, Kaart en navigatie van de Auto.
Het tweede probleem onderzocht door het team werd CVE-2015-8271, een RCE exploiteren in RTMPDump 2.4 die wordt gebruikt voor FFmpeg RTMP video streaming. Deze oude bug was verbonden aan apps waaronder Facebook, Facebook Messenger, Mycommerce en WeChat.
Het laatste lek, CVE-2016-3062 is een functie probleem in Dit voordat 11.7 en FFmpeg voor 0.11 die kan worden misbruikt voor denial-of-service (DoS) of de RCE.
Apps in de Google Play Store, zoals AliExpress, Video MP3 Converter, en Lazada worden verondersteld te worden beïnvloed. Alle van de genoemde toepassingen zijn miljoenen keren gedownload.
Als het gaat om deze kwetsbaarheid, de Instagram applicatie ook verscheen oorspronkelijk beïnvloed worden door Dit lek. Echter, bij Check Point is aangesloten op Instagram security team bespreken de scan, het Instagram team, zei:
“Verwarrend waren er twee verschillende patches gemaakt voor dit probleem, één voor FFmpeg 7 jaar geleden (dat was niet CVE) en dit 3 jaar geleden (dat was een CVE), en dan blijkt dat FFmpeg trok de tweede oplossing van dit en draagt nu beide patches, terwijl een van beide een voldoende zou zijn.”
CNET: De beste wachtwoord managers in 2019 en hoe ze te gebruiken
Ondanks al deze kwetsbaarheden worden verholpen jaar geleden, als gevolg van fouten bij het bijwerken van veroudering bibliotheken, blijven ze een risico voor de huidige gebruikers als ontwikkelaars niet toepassen.
“Het bijhouden van alle beveiligingsupdates in alle externe onderdelen van een geavanceerde mobiele app is een vervelende taak, en het is geen verrassing dat weinig ontwikkelaars zijn bereid om te besteden de moeite,” zegt Check Point. “Mobiele app stores en security-onderzoekers doen proactief scannen op malware apps voor patronen, maar besteden minder aandacht aan de reeds lang bekende kritieke kwetsbaarheden. Helaas, dit betekent dat er niet veel aan de eind-gebruiker kan doen om zijn mobiele apparaat volledig veilig is.”
Check Point Onderzoek ter kennis van de ontwikkelaars van de kwetsbare toepassingen, samen met Google. Google verzocht het onderzoek publicatie datum werd uitgesteld door twee weken om het bedrijf tijd om te onderzoeken, waarvan Check Point geaccepteerd.
Spreekt ZDNet, Check Point onderzoeker Slava Makkaveev zei:
“We verslag van onze bevindingen op relevante apps’ ontwikkelaars, maar niemand antwoordde met informatie over de geplande of toegepaste correcties. We hebben momenteel nog geen informatie over uitgegeven worden opgelost.”
“Check Point bereikt ons over dit probleem en vertelde ons dat de betrokken ontwikkelaars ter kennis zijn gebracht. Momenteel zijn We bezig met het onderzoeken van hun bevindingen,” een Google-woordvoerder vertelde ZDNet. “Bovendien hebben we onlangs uitgebreid de omvang van onze Google Play Beveiliging Beloning Programma aan te moedigen verdere samenwerking tussen app-ontwikkelaars en de veiligheid van de gemeenschap.”
TechRepublic: Hoe kun je jezelf beschermen tegen hackers? Een IBM social engineer biedt advies
Facebook betwist de bevindingen, vertelt ons, “de Mensen met behulp van Facebook-services zijn niet kwetsbaar voor elk van de problemen die door Check Point te wijten aan het ontwerp van onze systemen die gebruik maken van deze code.”
In gerelateerd nieuws deze week, onderzoekers van Checkmarx bekendgemaakt kwetsbaarheden in het Android-ecosysteem die kunnen worden benut om kapen smartphone camera ‘s om heimelijk foto’ s en video ‘ s, zelfs als een apparaat is vergrendeld. Google bevestigde het bestaan van de veiligheidsproblemen en gaf een patch aan het oplossen van de bugs.
Vorige en aanverwante dekking
Kameleon gokken apps gewist uit de App Store, Google Play
Gaming, foto-apps in Google Play infecteren Android-toestellen met malware
Dit is hoe kwaadaardige Android-apps te vermijden Google de beveiliging van veiligheidsonderzoeken
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Mobiliteit
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 21 November 2019 — 11:11 GMT (11:11 GMT)
| Onderwerp: Security