微信消息可能泄露？Google Play Store热门应用存在远程代码执行风险

微信消息可能泄露？Google Play Store热门应用存在远程代码执行风险
2019-11-22 18:57:00 Author: mp.weixin.qq.com(查看原文) 阅读量:161 收藏

当你打开手机应用经常会收到升级到最新版本的提示。

其中部分App是为了性能的提高，部分则是为了修复漏洞。

使用最新版本就能高枕无忧吗？

事实并非如此，即使更新版本漏洞依然存在。

更新版本也难逃攻击

近期，Check Point研究人员发现，数以百计的Android移动应用程序仍然包含漏洞，即使用户更新版本，也难逃远程执行代码的攻击。

研究人员发现包含漏洞的过时代码依然存在Google Play商店中数百种流行的应用程序中，其中包括Facebook、Instagram、微信和Yahoo Browser。

在为期一个月的研究中，研究人员对这些受欢迎程度很高的移动应用程序的最新版本进行检查，发现了三个已知的RCE漏洞，分别于2014、2015和2016就已经存在。

他们发现的结果可能会令很多人感到意外，应用程序制造商声称已经修补的严重漏洞依然存在于新版本之中，漏洞详情如下。

CVE-2014-8962

该漏洞为1.3.1版本之前的libFLAC中基于堆栈的缓冲区溢出问题，它使攻击者可以通过精心制作的.flac文件来实现RCE。

在LiveXLive，Moto Voice BETA和四个Yahoo!等应用程序中发现了FLAC音频编解码器漏洞和易受攻击代码库。

CVE-2015-8271

该漏洞是RTMPDump 2.4中的RCE漏洞，用于FFmpeg RTMP视频流。这个旧漏洞与Facebook，Facebook Messenger、ShareIt和微信等应用程序有关。

CVE-2016-3062

该漏洞存在于Libav中11.7之前版本和FFmpeg 0.11之前的版本中，可被利用来触发拒绝服务（DoS）或RCE。其中AliExpress、视频MP3转换器和Lazada等应用程序会受到影响，而在下表中的应用程序均被下载数百万次。

影响

尽管所有这些漏洞都是在几年前修复的，但是由于无法更新老化的本地库，维护者也无法控制使用这些本地库的应用程序，那么对于如今的用户来说，它们仍然可能是一个风险。

从理论上讲，攻击者可以利用该RCE漏洞窃取和更改Facebook上的帖子，从Instagram提取位置数据并读取你的微信消息。

仅仅这3个漏洞就能够使数百个应用程序容易受到远程代码执行的攻击，那么可以想象，攻击者如果扫描Google Play上的一百个已知漏洞，会造成什么样严重的后果。

谷歌致力于让恶意应用无法进入Google Play，现在看来，即使以后保持最新状态，用户也需要和部分包含恶意代码的合法应用程序抗衡。

* 本文由看雪编辑 LYA 编译自 Threat Post、ZDNet，转载请注明来源及作者。

* 原文链接：

https://threatpost.com/popular-apps-on-google-play-store-remain-unpatched/150502/

https://www.zdnet.com/article/popular-apps-on-google-play-linked-to-old-remote-code-execution-bugs/