Svært mye programvare er delvis basert på programvarebiblioteker utviklet av andre for at utviklerne skal slippe å «finne opp hjulet på nytt». Samtidig skal en passe seg for å gjøre ting altfor lettvint. Programvarebiblioteker er bare programvare som noen andre har lagt. All programvare kan inneholde feil som ennå ikke har blitt oppdaget.
IT-sikkerhetsselskap Check Point kom tidligere i år opp med en hypotese om at mange programvareutviklere som benytter seg av tredjeparts programvarebiblioteker i sin egen programvare, ikke jevnlig sjekker om det har blitt funnet sårbarheter i disse bibliotekene og sørger for å bygge sine egne apper på nytt med de oppdaterte utgavene av bibliotekene.
Kjent i flere år
I juni i år skannet Check Point Android-apper i Google Play for å se etter mønstre som kjennetegner tre kritiske og velkjente sårbarheter i åpen kildekode-biblioteker. Sårbarhetene ble oppdaget i henholdsvis 2014, 2015 og 2016.
Resultat var nedslående. Hundrevis av populære apper benyttet de sårbare bibliotekene. En rekke av disse har blitt lastet ned mer enn 100 millioner ganger. Tre har blitt lastet ned mer enn en milliard ganger.
Check Point har bare sjekket Android-utgaven av appene.
To av mest populære appene er fra Facebook. Den ene er den vanlige Facebook-appen, den andre er Messenger. Begge var berørt sårbarheten CVE-2015-8271, som er knyttet til en meldingsprotokoll (Real-Time Messaging Protocol) i forbindelse med strømming av video, men sannsynligvis har Facebook tatt i bruk en nyere versjon av biblioteket librtmp.so siden da.
Også appen Shareit var i juni berørt av den samme sårbarhetene, selv om appen er basert på et annet RTMP-bibliotek, librtmp-jni.so, enn Facebook-appene.
Sikkerhetsforskere: – Flere hundre millioner kabelmodemer i Europa er rammet av kritisk sårbarhet
Check Point nevnte opprinnelig også Instagram-appen, som også er utgitt av Facebook, i rapporten. Den skal ha vært berørt av en sårbarhet i libfb_ffmpeg.so-biblioteket, men Facebook har i ettertid opplyst at denne sårbarhetene ble patchet med en gang den ble kjent i 2016.
Appen AliExpress var i juni berørt av den samme sårbarheten, men da i biblioteket libtbffmpeg.so.
Den tredje av sårbarhetene Check Point søkte etter, ble oppdaget i 2014 i flere ulike biblioteker med støtte for lydformatet FLAC. I juni var blant annet minst fire applikasjoner fra Yahoo berørt av denne sårbarheten.
Toppen av isfjellet
– Bare tre sårbarheter, alle fikset for mer enn to år siden, gjør hundrevis av apper potensielt sårbare for fjernkjøring av kode. Kan du forestille deg hvor mange populære apper en angriper kan sikte seg inn mot dersom han skanner etter hundre kjente sårbarheter i Google Play?, skriver Check Point.
Mac-brukere kan snart slippe «klipp og lim» fra Chat GPT
Det er selvfølgelig viktig at brukerne av mobile enheter jevnlig installerer app-oppdateringene som kommer. Men dette alene er dessverre ikke nok.
– Det kommer som et sjokk å oppdage at disse tiltakene ikke hjelper når de som vedlikeholder appene lar være å inkludere sikkerhetsfikser som kommer til populære komponenter som de selv bruker, skrive selskapet videre.
– Å holde styr på alle sikkerhetsoppdateringer i alle eksterne komponenter i en sofistikert mobilapp er en langtekkelig oppgave, og det er ingen overraskelse at få utviklere er villige til å gjøre denne innsatsen. Markedsplasser for mobilapper og sikkerhetsforskere skanner aktivt apper etter skadevaremønstre, men gir slik lenge kjente og kritiske sårbarheter mindre oppmerksomhet. Dessverre betyr dette at det ikke er mye sluttbrukeren kan gjøre for å holde den mobile enheten sin helt sikker, konkluderer Check Point.
Selskaper navngir enda flere av berørte appene på denne siden.
Ny trussel: Denne Android-skadevaren stjeler engangspassord fra SMS-meldinger
