Check Point Research: в Facebook, Instagram и WeChat не устранены уязвимости в Google Play Store

Исследователи из Check Point Research сообщили о том, что популярные Android-приложения из магазина цифрового контента Play Store остаются неисправленными. Из-за этого хакеры могут получать данные о местоположении из Instagram, изменять сообщения в Facebook, а также читать переписку пользователей WeChat.

Патчи в этих приложениях фактически не были применены в Play Store. Выяснить это удалось благодаря сканированию в течение месяца последних версий ряда популярных Android-приложений на предмет наличия уязвимостей. Удалось установить, что несмотря на регулярные обновления некоторых приложений, остаются открытыми уязвимости, позволяющие выполнять произвольный код для получения административного контроля над приложениями.

Перекрёстный анализ последних версий упомянутых приложений на наличие трёх RCE-уязвимостей, самая старая из которых датируется 2014 годом. Такая ситуация складывается из-за того, что в мобильных приложениях применяются десятки повторно используемых компонентов, которые называются собственными библиотеками и создаются на основе проектов с открытым исходным кодом. Такие библиотеки создаются сторонними разработчиками, которые к моменту обнаружения уязвимости не имеют к ним доступа. Из-за этого приложение может использовать устаревшую версию кода годами, даже если в нём обнаружатся уязвимости.