Facebook i inne popularne aplikacje odziedziczyły kilkuletnie luki zabezpieczeń

Facebook, WeChat i inne popularne aplikacje dla Androida są podatne na ataki znane od przynajmniej 3 lat. Problemy z bezpieczeństwem odziedziczyły po kodekach multimedialnych. Twórcy kodeków już dawno się uporali z tymi problemami, ale w wielu aplikacjach wciąż są obecne biblioteki korzystające ze starszego kodu.

Podatność aplikacji odkryli specjaliści z Check Point Research, badający najpopularniejsze aplikacje mobilne z Google Play. Eksperci odkryli stare luki w nowych wersjach aplikacji ze szczytów rankingów, między innymi w Facebooku, TuneIn Radio, AliExpress, WeChacie i wielu innych. Umiejętne wykorzystanie wad aplikacji umożliwiłoby atakującym uzyskanie takich samych uprawnień, jakie ma aplikacja (na przykład do aparatu, kontaktów czy lokalizacji) i kradzież danych. Nie ma dowodów, że podatność została wykorzystana w realnych atakach, ale zagrożenie dotyczy setek milionów użytkowników. Pokazuje też marną kontrolę bibliotek dostarczonych przez strony trzecie.

Mowa tu o trzech lukach z 2014, 2015 i 2016 roku. Dwie z nich (CVE-2015-8271 i CVE-2016-3062) były obecne w zestawie kodeków FFmpeg, trzecia (CVE-2014-8962) w kodeku FLAC. Prowadzący te projekty już dawno je zabezpieczyli.

Nieaktualny kod trafił do popularnych aplikacji mobilnych razem z bibliotekami zewnętrznymi. Nie ma nic dziwnego w tym, że programiści wielokrotnie wykorzystują komponenty w różnych aplikacjach – to standardowa praktyka, która pozwala zaoszczędzić mnóstwo czasu i znacząco ułatwia pracę. W bibliotekach używanych przez wiodące aplikacje były jednak fragmenty kodu, zaczerpnięte ze starych, podatnych wersji kodeków. W analogicznej sytuacji byli autorzy odtwarzacza VLC, gdy wykorzystali kodek Matroska. Opisywałam też podobny przypadek podatności systemów Android 7, 8 i 9.

– Gdy podatność zostaje znaleziona w projekcie, jest ona łatana, ale jego autorzy zwykle nie mają kontroli nad natywnymi bibliotekami, których może ona również dotyczyć, ani nad aplikacjami, które korzystają z tych bibliotek – wyjaśniają analitycy Check Point Research. Przez to nowe wersje aplikacji mogą „odziedziczyć” luki zabezpieczeń, znane od lat. Możliwe, że w czasie używania aplikacji nigdy nie zostanie uruchomiona biblioteka z dziurą, ale nie możemy mieć pewności.

W przypadku luk w kodekach multimedialnych sprawa jest prosta – biblioteki są ładowane, gdy użytkownik chce obejrzeć film. Cyberprzestępcy muszą więc przygotować film, który wykorzysta podatność, rozesłać plik do jak najszerszego grona użytkowników i przekonać ich do odtworzenia materiału. Przykład takiego ataku możesz zobaczyć na filmie na blogu Check Point Research.

Dlatego radzimy nie otwierać plików z filmami, które otrzymasz od nieznajomych. usługi streamingowe są bezpieczne, gdyż ponownie kodują filmy i w tym procesie szkodliwy dodatek zostanie usunięty.

Specjaliści przeanalizowali tylko trzy luki, które od dwóch lat uważane są za niegroźne. Mimo tego setki aplikacji są potencjalnie zagrożone. Nie pomoże aktualizowanie systemu ani aplikacji, jeśli ich twórcy nie wprowadzają poprawek w komponentach stron trzecich. To karygodne zaniedbanie, ale jest jeszcze jeden problem. – Sklepy z aplikacjami i badacze bezpieczeństwa aktywnie skanują aplikacje, ale mniej uwagi poświęcają starszym podatnościom. Niestety, oznacza to, że użytkownik końcowy niewiele może zrobić, aby zapewnić bezpieczeństwo na swoim urządzeniu mobilnym – twierdzą specjaliści Check PointResearch.