安全企业CheckPoint本周警告,就算Android用户固定更新操作系统或移动程序,还是有不少移动程序因为采用了开源组件,而且未修补开源组件的漏洞,而存在古老的安全漏洞,包括Yahoo! MAP、Facebook、Messenger或WeChat等热门程序都没能幸免于难。
CheckPoint解释,移动程序经常会采用数十种像是C这种低端语言所撰写的、可重复使用的组件,这些组件一般被称为原生函数库(native libraries),它们可能是由开源项目衍生而来,或是结合了开源项目的程序代码,但当一个开源项目的漏洞被发现并修补时,维护者通常是无权控制被该漏洞所波及的原生函数库或程序,而使得采用相关开源项目的移动程序依旧存在着安全漏洞。
CheckPoint也坦承,宣称这些程序含有安全漏洞可能是夸大了些,因为它的流程也许永远不会触及到受影响的函数库程序代码,但肯定值得程序开发者深入调查。
为了验证所持理念,CheckPoint扫描了Google Play上的程序所使用的开源,检查它们是否含有已知的安全漏洞,研究人员只针对2014年所发现的CVE-2014-8962、2015年的CVE-2015-8271,以及2016年的CVE-2016-3062,这3个都是属于可执行任意程序的重大漏洞,却有许多热门程序依旧使用了含有上述漏洞的函数库,像是下载次数超过10亿的Facebook与Messenger,或是下载次数超过5亿的LiveXLive,以及下载次数超过1亿的WeChat等。
CheckPoint指出,光是这3个漏洞,就影响Google Play上超过400款的程序,如果黑客以上百种已知漏洞扫描Google Play上的程序,可能会有更多的热门程序遭到波及。
事实上,研究人员实际开采了VivaVideo的CVE-2016-3062漏洞,也成功让该程序宕掉。VivaVideo为一视频编辑工具,下载次数超过1亿,且CheckPoint所测试的是它的最新版。
CheckPoint表示,这透露出就算具备安全意识的用户会适时更新操作系统与程序,但只要程序开发者疏于维护程序,这些预防措施可能也只是流于形式。