Навіть після випуску оновлень популярні додатки залишаються невиправленими в інтернет-каталозі Google Play Store, з’ясували фахівці компанії Check Point у рамках проведеного дослідження.
Зокрема, кажуть вони, зловмисники можуть отримувати дані про місцезнаходження з Instagram, змінювати повідомлення в Facebook і читати повідомлення в WeChat.
Вважається, що, якщо користувач регулярно оновлює використовувані програми до нових версій, він захищений від хакерських атак, проте, як показала практика, це не так. Експерти протягом місяця сканували останні версії низки найбільш популярних мобільних додатків на наявність раніше відомих уразливостей і з’ясували, що “патчі в висококласних додатках – Facebook, Instagram, WeChat – практично не були виправлені в Google Play Store”.
Зокрема, додатки були досліджені на предмет трьох критичних уразливостей, виявлених у 2014, 2015 і 2016 роках. Йдеться про проблеми CVE-2014-8962 (уразливість переповнення буфера в версіях libFLAC нижче 1.3.1), CVE-2015-8271 (уразливість віддаленого виконання коду в RTMPDump 2.4) і CVE-2016-3062 (зачіпає версії Libav до 11.7 і FFmpeg молодше 0.11, може використовуватися для DoS-атак або віддаленого виконання коду).
Згідно з отриманими результатами, уразливість в аудіокодеку FLAC і бібліотеки, які використовують вразливий код, були виявлені в низці програм, в тому числі LiveXLive і Moto Voice BETA, друга уразливість була виявлена в додатках Facebook, Facebook Messenger, ShareIt і WeChat, а третя зачіпала додатки AliExpress, Video MP3 Converter і Lazada (з повним списком уразливих додатків можна ознайомитися в блозі Check Point).
“Дослідження доводить, що зловмисники все ще можуть виконувати шкідливий код в останніх версіях мобільних додатків у Google Play Store, незважаючи на оновлення, що випускаються додатками […] Теоретично, хакери можуть перехоплювати і змінювати повідомлення в Facebook, вивантажувати дані про місцезнаходження з Instagram і читати SMS-повідомлення в WeChat”, – пояснюють фахівці.
За їх словами, популярні мобільні додатки зазвичай задіюють десятки повторно використовуваних компонентів, написаних на низькорівневою мовою, такою як C. Дані компоненти нерідко створюються на основі проектів з відкритим вихідним кодом або містять фрагменти такого коду і, коли уразливість усувається в відкритому проекті, як правило, не контролюють бібліотеки і додатки, в яких цей код використовується. Таким чином, програма може продовжувати використовувати застарілу версію коду навіть через роки після виявлення уразливості, відзначили фахівці.
До речі, команда дослідників із безпеки виявила критичні уразливості в стандарті мобільного зв’язку п’ятого покоління (5G), експлуатація яких дозволила здійснити кілька атак, таких як відстеження розташування, передача помилкових аварійних оповіщень і повне відключення 5G-з’єднання телефону від мережі.
Зверніть увагу, що в Huawei вирішили прискорити темпи розробки HarmonyOS, версія для смартфонів офіційно запуститься протягом найближчих 6-9 місяців.
Також Міністерство оборони США звинуватило кіберзлочинців, які працюють на уряд Північної Кореї, в кібератаках на фінансовий сектор, в тому числі на мережу SWIFT, з метою збагачення.
Стало відомо, що Microsoft працює над реалізацією в майбутніх випусках Windows 10 протоколу “DNS поверх HTTPS” (DNS over HTTPS, DoH). При цьому також буде доступний протокол “DNS поверх TLS” (DNS over TLS, DoT).
Під час дослідження безпеки камер в пристроях Google Pixel 2 XL і Pixel 3 команда фахівців Checkmarx виявила уразливості в додатку “Камера” від Google, що дозволяє їм керувати деякими функціями, не отримавши відповідного дозволу.