ang010ela 嘶吼专业版
大多数手机用户都很担心设备的核心操作系统中存在的已知漏洞和0 day漏洞,因为攻击者利用这些漏洞可以完全控制其移动设备。
一般在软件组件中发现漏洞后都会立即修复。因此维护最新版本的手机操作系统和应用,就可以使手机设备保持安全。但Check Point研究人员近期发现除了修复的漏洞重要外,一些过期的代码仍然存在于许多主流的APP中。
主流的移动APP都会复用一些底层语言编写的组件,如C语言。这些组件也叫做本地库,一般是来自开源项目的。如果在开源项目中找到一个漏洞,虽然修复了,但维护人员对受到该漏洞影响的本地库无法控制,同样无法控制受到漏洞影响的app。这也就算APP如何保持在漏洞发现后很久仍然使用过时的代码。
研究人员假设Google Play中的APP应该也存在这种报告很久的漏洞。为了验证该假设,研究人员扫描了与有漏洞的开源代码版本相关的模式。下表是研究人员扫描得到的结果,截至2019年6月,研究人员发现了3个2014、2015和2016年发现的高危漏洞。受影响的APP包括知名的雅虎、Facebook、Instagram和微信。
CVE-2014-8962 (FLAC audio codec)
FLAC是开源的无损音频编译码器。libFLAC项目是针对原始FLAC及Ogg FLAC音频内容的开源库,实现了参考编码及解码器。CVE-2014-8962漏洞是libFLAC <= 1.3.0版本的解码器在处理恶意构造的.flac文件时存在栈溢出及堆溢出漏洞,攻击者可利用这些漏洞执行任意代码。
CVE-2015-8271 (FFmpeg RTMP video streaming)
受影响的产品包括微信。
CVE-2016-3062 (FFmpeg libavformat media handling)
漏洞位于libavformat/mov.c的mov_read_dref函数,允许远程攻击者引发DoS攻击或通过MP4文件中的dref的记录值来执行任意代码。
受影响的产品涉及全球速卖通(英文名:AliExpress)。
研究人员在测试中还在Instagram中发现存在CVE-2016-3062漏洞。但与Facebook的沟通中,给出的回应是:Instagram不受CVE-2016-3062漏洞的影响。
com.instagram.android Instagram 1,000,000,000+ libfb_ffmpeg.so
需要说明的是本研究主要是针对Google Play中的应用,但不针对任何应用中的任何特定漏洞。
上面提到的这3个漏洞都在2年前修复了,当年这3个漏洞使上百个APP受到远程代码执行漏洞的影响。设想一下,攻击者扫描了Google Play,然后在其中发现了100个已知的漏洞,很可怕!!!
下面的demo视频是CVE-2016-3062漏洞使最新版的VivaVideo app奔溃的PoC视频。
https://research.checkpoint.com/wp-content/uploads/2019/10/Crash_from_2016.mp4
结论
如果你的手机安装了最新的操作系统、安全更新,应用也都升级到最新版本,那么就安全了吗?一般认为是的,因为这也是安全最佳实践的内容,但事实并非如此。手机应用商店和安全研究任意主要扫描app来进行恶意软件模式匹配,但很少关注已经报告的古老的关键漏洞,但这也是安全漏洞存在的地方。
本文翻译自:https://research.checkpoint.com/2019/long-known-vulnerabilities-in-high-profile-android-applications/
