Descubren que apps como Facebook no tienen parcheados fallos de hace 5 años

Las aplicaciones que usamos a diario no son perfectas, y muchas de ellas tienen vulnerabilidades que ponen en peligro nuestros datos y privacidad. Cuando estas vulnerabilidades se descubren, se suele informar al desarrollador para que las parchee. Sin embargo, tres vulnerabilidades descubiertas en 2014, 2015 y 2016 todavía siguen presentes en cientos de apps de Android.

Cientos de apps tienen vulnerabilidades sin parchear desde hace años

El problema radica en el uso de elementos antiguos en determinadas apps. Una aplicación tiene normalmente decenas de componentes, librerías o partes del código de terceros que normalmente derivan de proyectos open source. Así, los creadores del proyecto pueden parchear esa vulnerabilidad, pero no pueden controlar si quienes han usado su código lo han parcheado, donde una app puede estar años usando una versión vulnerable del código.

Por ello, Check Point se dispuso a comprobar qué fabricantes habían parcheado o no los fallos, analizando los patrones asociados a esas vulnerabilidades en aplicaciones que están al día de las actualizaciones en la Google Play Store. Entre ellas, encontraron tres que permitían ejecución de código arbitrario: CVE-2014-8962, relacionada con el codec de audio FLAC; CVE-2015-8271, relacionada con el streaming de vídeo RTMP con FFmpeg; y CVE-2016-3062, relacionada con la librería libavformat para reproducir vídeo con FFmpeg.

Las vulnerabilidades se conocen desde hace 5, 4 y 3 años, respectivamente

Con CVE-2014-8962 encontramos varias aplicaciones que son vulnerables, como Yahoo! Transit, Yahoo! Browser, Yahoo! MAP, Yahoo! Car navigation, Moto Voice BETA y LiveXLive, que entre todas acumulan más de 100 millones de descargas.

Lo grave lo encontramos con la segunda vulnerabilidad de 2015, ya que afecta a aplicaciones como Facebook, Messenger, SHAREit, Mobile Legends: Bang Bang, Smule, JOOX Music o WeChat, que en la Play Store acumulan entre todas más de 3.000 millones de descargas. Además, hay más de 200 aplicaciones que usan esas librerías antiguas y también son vulnerables, pero estas son las que más descargas tienen.

En el caso de la tercera vulnerabilidad de 2016 también hay más de 200 apps que son vulnerables, pero entre las más populares encontramos AliExpress, Video MP3 Converter, Lazada, VivaVideo, Smule, JOOX Music, Retrica y TuneIn, con más de 1.000 millones de descargas entre todas. Instagram también estaría afectada por esta vulnerabilidad, pero Facebook afirma que la parcheó cuando salió en 2016.

Con sólo tres vulnerabilidades, los investigadores han descubierto que hay cientos de apps vulnerables. Imaginad qué podría ocurrir si un hacker decide escanear todas las apps ante cientos de vulnerabilidades descubiertas en los últimos años y sobre las que se conocen todos los datos, incluyendo pruebas de concepto.

Como vemos, por mucho que nos preocupemos en tener el móvil al día con las actualizaciones del sistema y de las apps, los desarrolladores de estas apps no se toman tan en serio el parchearlas. Estar al día de los cientos de vulnerabilidades que se descubren cada año es difícil, y sería de entender que pequeños desarrolladores no puedan parchearlas todas. Pero Facebook por ejemplo tiene dinero de sobra para tener un equipo dedicado a comprobar todas estas vulnerabilidades.

Fuente: Check Point | adslzone