微信訊息可能洩露?Google Play Store熱門應用存在遠端程式碼執行風險

Editor發表於2019-11-22
Go

微信訊息可能洩露?Google Play Store熱門應用存在遠端程式碼執行風險



當你開啟手機應用經常會收到升級到最新版本的提示。

其中部分App是為了效能的提高,部分則是為了修復漏洞。

使用最新版本就能高枕無憂嗎?

事實並非如此,即使更新版本漏洞依然存在。

更新版本也難逃攻擊



近期,Check Point研究人員發現,數以百計的Android移動應用程式仍然包含漏洞,即使使用者更新版本,也難逃遠端執行程式碼的攻擊。

研究人員發現包含漏洞的過時程式碼依然存在Google Play商店中數百種流行的應用程式中,其中包括Facebook、Instagram、微信和Yahoo Browser。

在為期一個月的研究中,研究人員對這些受歡迎程度很高的移動應用程式的最新版本進行檢查,發現了三個已知的RCE漏洞,分別於2014、2015和2016就已經存在。

他們發現的結果可能會令很多人感到意外,應用程式製造商聲稱已經修補的嚴重漏洞依然存在於新版本之中,漏洞詳情如下。

CVE-2014-8962

該漏洞為1.3.1版本之前的libFLAC中基於堆疊的緩衝區溢位問題,它使攻擊者可以通過精心製作的.flac檔案來實現RCE。

在LiveXLive,Moto Voice BETA和四個Yahoo!等應用程式中發現了FLAC音訊編解碼器漏洞和易受攻擊程式碼庫。

微信訊息可能洩露?Google Play Store熱門應用存在遠端程式碼執行風險

CVE-2015-8271

該漏洞是RTMPDump 2.4中的RCE漏洞,用於FFmpeg RTMP視訊流。這個舊漏洞與Facebook,Facebook Messenger、ShareIt和微信等應用程式有關。

微信訊息可能洩露?Google Play Store熱門應用存在遠端程式碼執行風險

CVE-2016-3062

該漏洞存在於Libav中11.7之前版本和FFmpeg 0.11之前的版本中,可被利用來觸發拒絕服務(DoS)或RCE。其中AliExpress、視訊MP3轉換器和Lazada等應用程式會受到影響,而在下表中的應用程式均被下載數百萬次。

微信訊息可能洩露?Google Play Store熱門應用存在遠端程式碼執行風險

影響


儘管所有這些漏洞都是在幾年前修復的,但是由於無法更新老化的本地庫,維護者也無法控制使用這些本地庫的應用程式,那麼對於如今的使用者來說,它們仍然可能是一個風險。  

從理論上講,攻擊者可以利用該RCE漏洞竊取和更改Facebook上的帖子,從Instagram提取位置資料並讀取你的微信訊息。

僅僅這3個漏洞就能夠使數百個應用程式容易受到遠端程式碼執行的攻擊,那麼可以想象,攻擊者如果掃描Google Play上的一百個已知漏洞,會造成什麼樣嚴重的後果。


谷歌致力於讓惡意應用無法進入Google Play,現在看來,即使以後保持最新狀態,使用者也需要和部分包含惡意程式碼的合法應用程式抗衡。

* 本文由看雪編輯 LYA 編譯自 Threat Post、ZDNet,轉載請註明來源及作者。

* 原文連結:

https://threatpost.com/popular-apps-on-google-play-store-remain-unpatched/150502/

https://www.zdnet.com/article/popular-apps-on-google-play-linked-to-old-remote-code-execution-bugs/

相關文章