圖片來源: 

Photo by mnm.all on Unsplash

資安業者CheckPoint本周警告,就算Android用戶固定更新作業系統或行動程式,還是有不少行動程式因為採用了開源碼元件,而且未修補開源碼元件的漏洞,而存在古老的安全漏洞,包括Yahoo! MAP、Facebook、Messenger或WeChat等熱門程式都沒能倖免於難。

CheckPoint解釋,行動程式經常會採用數十種像是C這種低階語言所撰寫的、可重覆使用的元件,這些元件一般被稱為原生函式庫(native libraries),它們可能是由開源專案衍生而來,或是結合了開源專案的程式碼,但當一個開源專案的漏洞被發現並修補時,維護者通常是無權控制被該漏洞所波及的原生函式庫或程式,而使得採用相關開源專案的行動程式依舊存在著安全漏洞。

CheckPoint也坦承,宣稱這些程式含有安全漏洞可能是誇大了些,因為它的流程也許永遠不會觸及到受影響的函式庫程式碼,但肯定值得程式開發者深入調查。

為了驗證所持理念,CheckPoint掃描了Google Play上的程式所使用的開源碼,檢查它們是否含有已知的安全漏洞,研究人員只針對2014年所發現的CVE-2014-8962、2015年的CVE-2015-8271,以及2016年的CVE-2016-3062,這3個都是屬於可執行任意程式的重大漏洞,卻有許多熱門程式依舊使用了含有上述漏洞的函式庫,像是下載次數超過10億的Facebook與Messenger,或是下載次數超過5億的LiveXLive,以及下載次數超過1億的WeChat等。

CheckPoint指出,光是這3個漏洞,就影響Google Play上超過400款的程式,如果駭客以上百種已知漏洞掃描Google Play上的程式,可能會有更多的熱門程式遭到波及。

事實上,研究人員實際開採了VivaVideo的CVE-2016-3062漏洞,也成功讓該程式當掉。VivaVideo為一影片編輯工具,下載次數超過1億,且CheckPoint所測試的是它的最新版。

CheckPoint表示,這透露出就算具備安全意識的使用者會適時更新作業系統與程式,但只要程式開發者疏於維護程式,這些預防措施可能也只是流於形式。


Advertisement

更多 iThome相關內容