Aplicaciones populares en Google Play vinculadas a viejos errores de ejecución remota de código


Bill Gates: arruiné la oportunidad de Microsoft de vencer a Android
El cofundador de Microsoft, Bill Gates, dice que el caso antimonopolio impidió que Microsoft entregara un sistema operativo móvil.

Las últimas versiones de aplicaciones populares alojadas en Google Play albergan vulnerabilidades conocidas que podrían someter a los usuarios a ataques de Ejecución remota de código (RCE).

Cuando descargamos aplicaciones de repositorios oficiales, podemos suponer que las actualizaciones de seguridad ya se han aplicado, o una vez instaladas, las actualizaciones de software se asegurarán de que la aplicación esté actualizada con las correcciones. Sin embargo, el jueves, investigadores de ciberseguridad de Check Point dijeron que los parches emitidos para resolver fallas de años para aplicaciones populares pueden no haberse aplicado a las versiones disponibles en Google Play.

En una publicación de blog, Check Point documentó los resultados de un estudio de un mes, realizado en mayo, sobre la presencia de vulnerabilidades conocidas en aplicaciones móviles populares. Los resultados sugieren que el uso de componentes de terceros y recursos de código abierto, incluidas las bibliotecas, puede haber llevado a que el código antiguo y vulnerable aún esté presente en las aplicaciones.

"Cuando se encuentra y corrige una vulnerabilidad en un proyecto de código abierto, sus encargados generalmente no tienen control sobre las bibliotecas nativas que pueden verse afectadas por la vulnerabilidad, ni las aplicaciones que usan estas bibliotecas nativas", dice Check Point. "Así es como una aplicación puede seguir usando la versión desactualizada del código incluso años después de que se descubra la vulnerabilidad".

Específicamente, los investigadores examinaron las aplicaciones móviles en cuestión en busca de tres vulnerabilidades RCE que datan de 2014, 2015 y 2016. A cada error se le asignaron dos firmas y se escanearon cientos de aplicaciones en Google Play Store.

La primera vulnerabilidad escaneada, rastreada como CVE-2014-8962, se describe como un problema de desbordamiento de búfer basado en pila en libFLAC antes de 1.3.1 que permite a los atacantes alcanzar RCE a través de un archivo .flac diseñado.

Ver también: La falla de Android permite que las aplicaciones no autorizadas tomen fotos, graben videos incluso si su teléfono está bloqueado

La vulnerabilidad de códec de audio FLAC y las bibliotecas que usan código vulnerable se encontraron en aplicaciones que incluyen LiveXLive, Moto Voice BETA y cuatro Yahoo! aplicaciones: tránsito, navegador, mapa y navegación para automóviles.

screenshot-2019-11-21-at-11-13-14.png

La segunda vulnerabilidad examinada por el equipo fue CVE-2015-8271, un exploit RCE en RTMPDump 2.4 que se usa para la transmisión de video FFmpeg RTMP. Este viejo error estaba conectado a aplicaciones como Facebook, Facebook Messenger, ShareIt y WeChat.

screenshot-2019-11-21-at-11-13-22.png "height =" auto "width =" 470 "src =" https://zdnet4.cbsistatic.com/hub/i/r/2019/11 /21/b1b5cf12-4ce4-47e2-86f4-9c9c01afffc3/resize/470xauto/b1947d4e001855f1d3273d656a2d4360/screenshot-2019-11-21-at-11-13-22.png "/></span><noscript><span class=screenshot-2019-11-21-at-11-13-22.png

El último fallo de seguridad, CVE-2016-3062, es un problema de función en Libav antes de 11.7 y FFmpeg antes de 0.11 que puede explotarse para causar denegación de servicio (DoS) o RCE.

Se cree que las aplicaciones en Google Play Store, como AliExpress, Video MP3 Converter y Lazada, se ven afectadas. Todas las aplicaciones mencionadas se han descargado millones de veces.

screenshot-2019-11-21-at-11-13-29.png "height =" auto "width =" 470 "src =" https://zdnet4.cbsistatic.com/hub/i/r/2019/11 /21/2a87686c-5a05-43b3-a953-48a1584a66ea/resize/470xauto/2b04e869ec40be94326ff59124e8de4c/screenshot-2019-11-21-at-11-13-29.png "/></span><noscript><span class=screenshot-2019-11-21-at-11-13-29.png

Cuando se trata de esta vulnerabilidad, la aplicación de Instagram también parecía verse afectada originalmente por la falla de seguridad de Libav. Sin embargo, cuando Check Point se conectó con el equipo de seguridad de Instagram para discutir el escaneo, el equipo de Instagram dijo:

"Confusamente, se crearon dos parches diferentes para este problema, uno para FFmpeg hace 7 años (que no era un CVE) y uno para libav hace 3 años (que era un CVE), y luego parece que FFmpeg sacó el segunda solución de libav y ahora lleva ambos parches, mientras que cualquiera sería suficiente ".

CNET: Los mejores administradores de contraseñas para 2019 y cómo usarlos

A pesar de que todas estas vulnerabilidades se solucionaron hace años, debido a fallas en la actualización de las bibliotecas antiguas, pueden seguir siendo un riesgo para los usuarios de hoy si los desarrolladores no las aplican.

"Hacer un seguimiento de todas las actualizaciones de seguridad en todos los componentes externos de una aplicación móvil sofisticada es una tarea tediosa, y no sorprende que pocos encargados estén dispuestos a gastar el esfuerzo", dice Check Point. "Las tiendas de aplicaciones móviles y los investigadores de seguridad escanean de manera proactiva las aplicaciones en busca de patrones de malware, pero dedican menos atención a las vulnerabilidades críticas conocidas desde hace mucho tiempo. Desafortunadamente, esto significa que el usuario final no puede hacer mucho para mantener su dispositivo móvil completamente seguro".

Check Point Research notificó a los desarrolladores de las aplicaciones vulnerables, junto con Google. Google solicitó que la fecha de publicación de la investigación se pospusiera dos semanas para dar tiempo a la empresa para investigar, de lo cual Check Point aceptó.

En declaraciones a ZDNet, el investigador de Check Point Slava Makkaveev dijo:

"Informamos nuestros hallazgos a los desarrolladores de aplicaciones relevantes, pero ninguno respondió con información sobre las correcciones planificadas o aplicadas. Actualmente todavía no tenemos información sobre las correcciones emitidas".

"Check Point nos contactó sobre este problema y nos informó que los desarrolladores afectados han sido notificados. Actualmente estamos trabajando para investigar sus hallazgos", dijo un portavoz de Google a ZDNet. "Además, recientemente ampliado el alcance de nuestro Programa de recompensas de seguridad de Google Play para alentar una mayor colaboración entre los desarrolladores de aplicaciones y la comunidad de seguridad ".

TechRepublic: ¿Cómo puedes protegerte de los hackers? Un ingeniero social de IBM ofrece consejos

Facebook cuestionó los hallazgos y nos dijo: "Las personas que usan los servicios de Facebook no son vulnerables a ninguno de los problemas destacados por Check Point debido al diseño de nuestros sistemas que usan este código".

En noticias relacionadas esta semana, los investigadores de Checkmarx revelaron vulnerabilidades en el ecosistema de Android que podrían explotarse para secuestrar cámaras de teléfonos inteligentes para tomar imágenes y videos de forma encubierta, incluso si un dispositivo está bloqueado. Google confirmó la existencia de fallas de seguridad y emitió un parche para resolver los errores.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Source link