برنامه هایی با بیش از 200 میلیون نصب دارای ضعف های امنیتی هستند!

برنامه هایی با بیش از 200 میلیون نصب دارای ضعف های امنیتی هستند!

متخصصان در کتابخانه های گوگل ضعف امنیتی پیدا کرده بودند که هم اکنون در بسیاری از برنامه های موجود در گوگل پلی وجود دارد. این آسیب پذیری میتواند منجر به دسترسی افراد غریبه به اطلاعات موجود در موبایل فرد قربانی شود.

برنامه هایی با بیش از 200 میلیون دانلود ، همچنان مشکوک به داشتن ضعف های امنیتی زیاد در کتابخانه گوگل پلی هستند که در آگوست امسال پچ شده بودند.

در آگوست ، متخصصان امنیتی اندروید آسیب پذیری در هسته ی کتابخانه ی گوگل پلی پیدا کرده بودند که اجازه ی اجرای کد های مخرب در برنامه های تایید شده را میداد. این اجراهای مخرب تحت اجازه ی امنیتی برنامه های تایید شده صورت میگرفت ، که ورود و خروج را دیتا را کنترل میکرد. این کتابخانه آسیب پذیر جهت بروزرسانی اجزای یک برنامه از طریق API گوگل استفاده میشود. این کتابخانه در بسیاری از برنامه های معروف از جمله chrome , edge , FaceBook , Instagram , Whatsapp , Snapchat و بسیاری از برنامه های دیگر استفاده میشود.

به عنوان CVE-2020-8913 نام گذاری شده ، این آسیب پذیری نمره 8.8 (بالا) گرفت و توسط گوگل در در نسخه 1.7.2 اصلاح شد.

بسیاری از برنامه ها همچنان از نسخه ی آسیب پذیر استفاده میکنند. متخصصان برنامه های بسیاری با میلیون ها نصب پیدا کرده اند که همچنان بعد از سه ماه از نسخه ی آسیب پذیر این کتابخانه استفاده میکنند.

متخصصان Check Point : " از وقت انتشار این آسیب پذیری ما در حال بررسی آسیب پذیری برنامه ها بودیم ، در طول سپتامبر 2020 ، 13% از برنامه های گوگل پلی که توسط SandBlast بررسی شدند از این کتابخانه استفاده میکردند ، 8% این برنامه شامل نسخه ی آسیب پذیر آن بودند ". این نگران کننده است ، با توجه به گفته ی متخصصان ، این ضعف بسیار راحت قابل سؤاستفاده است.

Check Point همچنان اضافه میکند : " تمام کاری که لازم است شما بکنید این است که یک برنامه  “Hello World” بسازید که Intent ارسال شده در برنامه آسیب پذیر را صدا بزند تا یک فایل را داخل پوشه های تایید شده را از طریق file-traversal path برنامه push کند."

اندروید

تا متوجه شید چنین کاری چقدر راحت است توصیه میکنیم این ویدو را تماشا کنید.
لیست زیر شما لیستی از اپلیکیشن های آسیب پذیر را مشاهده میکنید ، همه این برنامه ها حداقل یک میلیون دانلود داشته اند و بیشترین آن ها صد میلیون دانلود داشته است :

اندروید

همانطور که کتابخانه مذکور بطور پیش فرض بروز رسانی نمیشود ، توسعه دهندگان باید بطور دستی بروز رسانی آنرا انجام دهند. 

منبع : www.bleepingcomputer.com