當你打開手機應用經常會收到升級到最新版本的提示。
其中部分App是為了性能的提高,部分則是為了修復漏洞。
使用最新版本就能高枕無憂嗎?
事實並非如此,即使更新版本漏洞依然存在。
更新版本也難逃攻擊
近期,Check Point研究人員發現,數以百計的Android移動應用程序仍然包含漏洞,即使用戶更新版本,也難逃遠程執行代碼的攻擊。
研究人員發現包含漏洞的過時代碼依然存在Google Play商店中數百種流行的應用程序中,其中包括Facebook、Instagram、微信和Yahoo Browser。
在為期一個月的研究中,研究人員對這些受歡迎程度很高的移動應用程序的最新版本進行檢查,發現了三個已知的RCE漏洞,分別於2014、2015和2016就已經存在。
他們發現的結果可能會令很多人感到意外,應用程序製造商聲稱已經修補的嚴重漏洞依然存在於新版本之中,漏洞詳情如下。
CVE-2014-8962
該漏洞為1.3.1版本之前的libFLAC中基於堆棧的緩衝區溢出問題,它使攻擊者可以通過精心製作的.flac文件來實現RCE。
在LiveXLive,Moto Voice BETA和四個Yahoo!等應用程序中發現了FLAC音頻編解碼器漏洞和易受攻擊代碼庫。
CVE-2015-8271
該漏洞是RTMPDump 2.4中的RCE漏洞,用於FFmpeg RTMP視頻流。這個舊漏洞與Facebook,Facebook Messenger、ShareIt和微信等應用程序有關。
CVE-2016-3062
該漏洞存在於Libav中11.7之前版本和FFmpeg 0.11之前的版本中,可被利用來觸發拒絕服務(DoS)或RCE。其中AliExpress、視頻MP3轉換器和Lazada等應用程序會受到影響,而在下表中的應用程序均被下載數百萬次。
影響
儘管所有這些漏洞都是在幾年前修復的,但是由於無法更新老化的本地庫,維護者也無法控制使用這些本地庫的應用程序,那麼對於如今的用戶來說,它們仍然可能是一個風險。
從理論上講,攻擊者可以利用該RCE漏洞竊取和更改Facebook上的帖子,從Instagram提取位置數據並讀取你的微信消息。
僅僅這3個漏洞就能夠使數百個應用程序容易受到遠程代碼執行的攻擊,那麼可以想象,攻擊者如果掃描Google Play上的一百個已知漏洞,會造成什麼樣嚴重的後果。
谷歌致力於讓惡意應用無法進入Google Play,現在看來,即使以後保持最新狀態,用戶也需要和部分包含惡意代碼的合法應用程序抗衡。
* 本文由看雪編輯 LYA 編譯自 Threat Post、ZDNet,轉載請註明來源及作者。
* 原文鏈接:
https://threatpost.com/popular-apps-on-google-play-store-remain-unpatched/150502/
https://www.zdnet.com/article/popular-apps-on-google-play-linked-to-old-remote-code-execution-bugs/
閱讀更多 看雪學院 的文章
