CheckPoint：大量熱門Android程式仍存有已修補的安全漏洞

資安業者CheckPoint本周警告，就算Android用戶固定更新作業系統或行動程式，還是有不少行動程式因為採用了開源碼元件，而且未修補開源碼元件的漏洞，而存在古老的安全漏洞，包括Yahoo! MAP、Facebook、Messenger或WeChat等熱門程式都沒能倖免於難。

CheckPoint解釋，行動程式經常會採用數十種像是C這種低階語言所撰寫的、可重覆使用的元件，這些元件一般被稱為原生函式庫（native libraries），它們可能是由開源專案衍生而來，或是結合了開源專案的程式碼，但當一個開源專案的漏洞被發現並修補時，維護者通常是無權控制被該漏洞所波及的原生函式庫或程式，而使得採用相關開源專案的行動程式依舊存在著安全漏洞。

CheckPoint也坦承，宣稱這些程式含有安全漏洞可能是誇大了些，因為它的流程也許永遠不會觸及到受影響的函式庫程式碼，但肯定值得程式開發者深入調查。

為了驗證所持理念，CheckPoint掃描了Google Play上的程式所使用的開源碼，檢查它們是否含有已知的安全漏洞，研究人員只針對2014年所發現的CVE-2014-8962、2015年的CVE-2015-8271，以及2016年的CVE-2016-3062，這3個都是屬於可執行任意程式的重大漏洞，卻有許多熱門程式依舊使用了含有上述漏洞的函式庫，像是下載次數超過10億的Facebook與Messenger，或是下載次數超過5億的LiveXLive，以及下載次數超過1億的WeChat等。

CheckPoint指出，光是這3個漏洞，就影響Google Play上超過400款的程式，如果駭客以上百種已知漏洞掃描Google Play上的程式，可能會有更多的熱門程式遭到波及。

事實上，研究人員實際開採了VivaVideo的CVE-2016-3062漏洞，也成功讓該程式當掉。VivaVideo為一影片編輯工具，下載次數超過1億，且CheckPoint所測試的是它的最新版。

CheckPoint表示，這透露出就算具備安全意識的使用者會適時更新作業系統與程式，但只要程式開發者疏於維護程式，這些預防措施可能也只是流於形式。