Facebook, Instagram и WeChat не закрывают уязвимости в приложениях

Команда исследователей Check Point Research обнаружила, что популярные приложения остаются неисправленными в Google Play Store. Так, хакеры могут получать данные о местоположении из Instagram, изменять сообщения в Facebook и читать сообщения в WeChat.

Распространено мнение, что, если человек регулярно обновляет приложения до последней версии, он защищен от хакерских атак. Но это не так. Исследователи Check Point доказали, что патчи в высококлассных приложениях — Facebook, Instagram, WeChat — фактически не были исправлены в Google Play Store. В течение месяца исследователи Check Point сканировали последние версии некоторых из самых известных мобильных приложений на наличие ранее известных уязвимостей. Результаты вызывают тревогу.

Исследование доказывает, что злоумышленники все еще могут выполнять вредоносный код в последних версиях мобильных приложений в Google Play Store, несмотря на обновления, выпускаемые приложениями. Проще говоря, злоумышленники могут получить административный контроль над мобильными приложениями, которые изучили специалисты Check Point Research. Теоретически, хакеры могут перехватывать и изменять сообщения в Facebook, выгружать данные о местоположении из Instagram и читать SMS-сообщения в WeChat.

В частности, команда Check Point Research провела перекрестный анализ последних версий этих популярнейших приложений на наличие трех известных RCE-уязвимостей (удаленное выполнение кода), датированных 2014, 2015 и 2016 годами. Каждой уязвимости были назначены две сигнатуры. Затем Check Point Research запустил свой движок для проверки сотен мобильных приложений в Google Play Store, чтобы определить, присутствовал ли старый, уязвимый код в последней версии приложения. Несмотря на утверждения, что с обновлениями все было исправлено, специалисты Check Point Research обнаружили уязвимый код в последних версиях популярных мобильных приложениях.

Популярные мобильные приложения обычно используют десятки повторно используемых компонентов, написанных на низкоуровневом языке, таком как C. Эти компоненты, называемые собственными библиотеками, часто создаются на основе проектов с открытым исходным кодом (open-source) или включают фрагменты такого кода. Когда уязвимость обнаруживается и исправляется в проекте open-source, его сопровождающие обычно не имеют контроля над библиотеками, а также над приложениями, использующими эти собственные библиотеки. Таким образом, приложение может продолжать использовать устаревшую версию кода даже спустя годы после обнаружения уязвимости.

Исследование ставит серьезный глобальный вопрос: почему Google не следит за обновлениями разработчиков приложений? Сегодня Google предоставляет разработчикам только возможность обновлять приложения. Это чрезвычайно опасно и вводит в заблуждение пользователей. Мы считаем, что Google должен заставить разработчиков мобильных приложений обновлять приложения, в том числе сторонний код. В конце концов, Google частично несет ответственность за мониторинг вредоносных программ и уязвимого кода.

Check Point Research проинформировала исследуемые уязвимые приложения наряду с Google.