för Zero Day
| November 21, 2019 — 11:11 GMT (11:11 GMT)
| Ämne: Säkerhet
Bill Gates: jag trasslat upp Microsofts chans att slå Android
Microsofts grundare Bill Gates säger konkurrensmål slutade Microsoft att leverera en mobil OS.
De senaste versionerna av populära appar lagras på Google Play är hysa kända sårbarheter som kan utsätta användare för att Fjärrkörning av Kod (RCE) attacker.
När vi hämta appar från officiella förråden, vi kan anta att uppdateringar har redan tillämpats — eller en gång installerat, uppdateringar av programvara kommer att se till att appen är up-to-date med korrigeringar. Men på torsdag, it-säkerhet forskare från Check Point sade att patchar som utfärdats för att lösa år gamla brister för populära program kanske inte har tillämpats på versioner som finns tillgängliga i Google Play.
I ett blogginlägg, Check Point dokumenterade resultat av en månad lång studie, som genomfördes i Maj, i närvaro av kända sårbarheter i populära mobila applikationer. Resultaten föreslagit att användning av komponenter från tredje part och open source-resurser, inklusive bibliotek, kan ha lett till att gamla, utsatta koden fortfarande att vara närvarande i appar.
“När en sårbarhet upptäcks och åtgärdas i ett open source-projekt, dess utvecklare har normalt ingen kontroll över den inhemska bibliotek som kan påverkas av sårbarhet, eller appar som använder dessa inhemska bibliotek,” Check Point säger. “Detta är hur en app kan hålla med hjälp av den föråldrade version av koden, även år efter sårbarhet upptäcks.”
Specifikt, forskarna undersökte mobile apps i fråga för tre RCE sårbarheter med anor från 2014, 2015 och 2016. Varje fel har tilldelats två signaturer och hundratals apps skannades i Google Play Store.
Den första sårbarheten skannade, spårade som CVE-2014-8962, beskrivs som ett stackbaserat buffertspill problem i libFLAC innan 1.3.1 som tillåter en angripare att uppnå RCE med hjälp av en specialskriven .flac-fil.
Se även: Android fel kan oseriösa program ta foton, spela in videoklipp, även om telefonen är låst
FLAC audio codec sårbarhet och bibliotek som använder koden hittades i program, inklusive LiveXLive, Moto Röst BETA, och fyra Yahoo! apps-Transitering, Webbläsare, Karta, och bilnavigering.
Det andra problemet som undersöks av laget var CVE-2015-8271, ett RCE utnyttja i RTMPDump 2.4 som används för FFmpeg RTMP video streaming. Denna gamla bugg var ansluten till program, inklusive Facebook, Facebook Messenger, ShareIt, och WeChat.
Den slutliga säkerhetsbrist, CVE-2016-3062, är en funktion fråga i Libav innan 11.7 och FFmpeg innan 0.11 som kan utnyttjas för att orsaka denial-of-service (DoS) eller RCE.
Appar på Google Play Store inklusive AliExpress, Video-MP3-Converter, och Lazada tros vara drabbade. Alla av de program som nämns har laddats ner flera miljoner gånger.
När det kommer till denna sårbarhet, Instagram ansökan också ursprungligen verkade vara påverkad av Libav säkerhetsbrist. Men när Check Point är ansluten till Instagram s säkerhetsgrupp för att diskutera scan, Instagram laget sa:
“Förvirrande det var två olika patchar som skapats för denna fråga, en för FFmpeg för 7 år sedan (som inte var CVE) och en för avahi 3 år sedan (som var en CVE), och sedan verkar det som FFmpeg drog den andra fix från libav och nu bär både fläckar, medan antingen det ena skulle vara tillräckligt.”
CNET: Den bästa chefer lösenord till 2019 och hur du använder dem
Trots alla dessa sårbarheter åtgärdas år sedan, på grund av underlåtenhet att uppdatera åldrande bibliotek, de får vara kvar en risk för att dagens användare om utvecklare misslyckas med att tillämpa dem.
“Att hålla reda på alla uppdateringar i alla externa komponenter av en sofistikerad mobil app är en mödosam uppgift, och det är ingen överraskning att några utvecklare är villiga att lägga ned den ansträngning,” Check Point säger. “Mobil-app-butiker och säkerhet forskare arbetar aktivt skanna apps för skadliga mönster, men ägna mindre uppmärksamhet åt länge kända kritiska sårbarheter. Tyvärr betyder det att det är inte mycket slutanvändaren kan göra för att hålla sin mobila enhet är helt säker.”
Check Point Forskning anmälda utvecklarna av sårbara program, tillsammans med Google. Google begärt att forskning publiceringsdatum var skjutas upp med två veckor för att ge bolaget tid att utreda, som Check Point accepteras.
Sett till ZDNet, Check Point forskare Slava Makkaveev sade:
“Vi redovisat våra resultat till relevanta apps utvecklare men ingen svarade med information om planerade eller tillämpas åtgärdas. Vi har för närvarande fortfarande inte har information om utgivna korrigeringar.”
“Check Point nått ut till oss om det här problemet och informerade oss om att påverkas utvecklare har anmälts. Vi arbetar för närvarande med att undersöka sina upptäckter,” en Google talesman berättade ZDNet. “Dessutom har vi nyligen utvidgade omfattningen av våra Google Play Säkerhet Belöning för att uppmuntra till ytterligare samarbete mellan app-utvecklare och säkerhet samhället.”
TechRepublic: Hur kan du skydda dig mot hackare? En IBM social ingenjör erbjuder rådgivning
Facebook omtvistade resultaten, säger till oss, “Personer som använder Facebook-tjänster är inte utsatta för någon av de frågor som lyfts fram av Check Point på grund av utformningen av vårt system som använder denna kod.”
I relaterade nyheter denna vecka, forskare från Checkmarx röjas sårbarheter i androids ekosystem som skulle kunna utnyttjas för att kapa smartphone-kameror för att i smyg ta bilder och video, även om telefonen är låst. Google bekräftade förekomsten av säkerhetsbrister och släppte en patch för att lösa buggar.
Tidigare och relaterade täckning
Kameleont gambling apps torkas från App Store, Google Play
Spel -, foto-appar i Google Play infektera Android-telefoner med skadlig kod
Detta är hur skadliga Android-appar undvika Googles säkerhetskontroller
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Rörlighet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 21, 2019 — 11:11 GMT (11:11 GMT)
| Ämne: Säkerhet