主页(http://www.175shouji.com):一些知名的Android应用程序仍然存在多年前发现的漏洞
一些知名的Android应用程序仍然存在多年前发现的漏洞
2019-11-25 12:18:00来源:
大多数人使用智能手机时,并不担心我们日常生活中使用的重要应用程序的安全性。谷歌通常会删除那些被发现含有恶意软件或广告软件的应用程序,以及专门用来欺骗你支付订阅费的应用程序。我们中的大多数人都会认为,将我们的应用程序和移动操作系统升级到最新的版本意味着,任何潜在的安全漏洞都会减少到最低限度。
事实证明,事实并非如此,即使是大牌应用程序也是如此。根据网络安全公司Check Point的一份报告,每天都会发现数十个漏洞,其中一些是在应用程序本身中发现的,另一些是在外部共享代码库中发现的,这些应用程序使用这些漏洞来启用特定的功能。更新它们以跟上当前的安全威胁是一项艰巨的任务,因此应用程序开发人员必须优先考虑哪些是首先修复的。
研究人员决定看看Google Play Store中有多少应用程序目前仍在使用易受攻击的库。他们特别搜寻三个被评为关键的漏洞,并于2014年、2015年和2016年披露。这不会让Infoosec社区感到惊讶,但由此产生的列表包括800多个流行的Android应用程序和游戏,这些应用和游戏已经被下载了50亿次。
受影响的应用包括一些人们经常使用的应用,比如Facebook、微信、Messenger、Instagram、AliExpress、TuneIn和SHAREit。自从漏洞被发现以来,共享库都被更新了,但是那些流行应用的新版本仍然使用过时的库。
Facebook说,这不是一个问题,因为它的应用程序的编码方式,这些漏洞是无用的潜在攻击者。谷歌目前正在调查并尽力推动应用程序开发人员进行修复工作。然而,该公司又一次想要用宽松的政策充斥其应用商店,这最终导致了这样一种局面:新的应用程序没有经过适当的审查,而流行的应用程序也无法修复,除非公众有压力这样做。
Check Point的研究人员指出,虽然应用程序可能不会使用那些经常使用的旧库,但这仍然不算好的安全性。选择用于此分析的漏洞可能并不是唯一的漏洞,它们为坚定的攻击者打开了大门,他们更有可能试图利用众所周知的漏洞,而不是最新的技术。
这可能不像模仿流行应用程序的外观和感觉来吸收你的个人数据的应用程序那么大。而应用程序开发人员可能会认为这些新发现微不足道。但是,你只需要看一下Google的bug赏金程序,就可以知道为什么跟踪移动应用程序的所有外部组件是值得的。
今年,超过1000个Android应用程序被发现,即使你在安装后拒绝了它们的任何相关权限,也可以获取你的个人数据。有趣的是,应用程序本身相对安全,但它们使用的是第三方库,这些库中到处都是可用于数据收集的代码。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
相关推荐:
