SIKKERHET

Kritisk sårbarhet funnet i 2015. Facebook-apper var fortsatt berørt fire år etter

Undersøkelse dokumenterer et problem med utvikleres bruk av programvarebiblioteker.

Facebook-appen er blant appene som i alle fall fram til juni i år benyttet versjoner av programvarebibliotek med sårbarheter som ble kjent for flere år siden.
Facebook-appen er blant appene som i alle fall fram til juni i år benyttet versjoner av programvarebibliotek med sårbarheter som ble kjent for flere år siden. Foto: AP/NTB scanpix
Harald BrombachHarald BrombachNyhetsleder
22. nov. 2019 - 18:00

Svært mye programvare er delvis basert på programvarebiblioteker utviklet av andre for at utviklerne skal slippe å «finne opp hjulet på nytt». Samtidig skal en passe seg for å gjøre ting altfor lettvint. Programvarebiblioteker er bare programvare som noen andre har lagt. All programvare kan inneholde feil som ennå ikke har blitt oppdaget.

IT-sikkerhetsselskap Check Point kom tidligere i år opp med en hypotese om at mange programvareutviklere som benytter seg av tredjeparts programvarebiblioteker i sin egen programvare, ikke jevnlig sjekker om det har blitt funnet sårbarheter i disse bibliotekene og sørger for å bygge sine egne apper på nytt med de oppdaterte utgavene av bibliotekene.

Kjent i flere år

I juni i år skannet Check Point Android-apper i Google Play for å se etter mønstre som kjennetegner tre kritiske og velkjente sårbarheter i åpen kildekode-biblioteker. Sårbarhetene ble oppdaget i henholdsvis 2014, 2015 og 2016. 

Resultat var nedslående. Hundrevis av populære apper benyttet de sårbare bibliotekene. En rekke av disse har blitt lastet ned mer enn 100 millioner ganger. Tre har blitt lastet ned mer enn en milliard ganger. 

Check Point har bare sjekket Android-utgaven av appene. 

Facebook 

To av mest populære appene er fra Facebook. Den ene er den vanlige Facebook-appen, den andre er Messenger. Begge var berørt sårbarheten CVE-2015-8271, som er knyttet til en meldingsprotokoll (Real-Time Messaging Protocol) i forbindelse med strømming av video, men sannsynligvis har Facebook tatt i bruk en nyere versjon av biblioteket librtmp.so siden da. 

Også appen Shareit var i juni berørt av den samme sårbarhetene, selv om appen er basert på et annet RTMP-bibliotek, librtmp-jni.so, enn Facebook-appene. 

Kabelmodemer fra Netgear er blant modellene som er rammet av Cable Haunt-sårbarheten.
Les også

Sikkerhetsforskere: – Flere hundre millioner kabelmodemer i Europa er rammet av kritisk sårbarhet

Check Point nevnte opprinnelig også Instagram-appen, som også er utgitt av Facebook, i rapporten. Den skal ha vært berørt av en sårbarhetlibfb_ffmpeg.so-biblioteket, men Facebook har i ettertid opplyst at denne sårbarhetene ble patchet med en gang den ble kjent i 2016.

Appen AliExpress var i juni berørt av den samme sårbarheten, men da i biblioteket libtbffmpeg.so.

Den tredje av sårbarhetene Check Point søkte etter, ble oppdaget i 2014 i flere ulike biblioteker med støtte for lydformatet FLAC. I juni var blant annet minst fire applikasjoner fra Yahoo berørt av denne sårbarheten. 

Toppen av isfjellet

– Bare tre sårbarheter, alle fikset for mer enn to år siden, gjør hundrevis av apper potensielt sårbare for fjernkjøring av kode. Kan du forestille deg hvor mange populære apper en angriper kan sikte seg inn mot dersom han skanner etter hundre kjente sårbarheter i Google Play?, skriver Check Point.

1password har nå utvidet passnøkkelstøtten til Android-folket.
Les også

Stor passordtjeneste: Får støtte for «passnøkler» til Android

Det er selvfølgelig viktig at brukerne av mobile enheter jevnlig installerer app-oppdateringene som kommer. Men dette alene er dessverre ikke nok.

– Det kommer som et sjokk å oppdage at disse tiltakene ikke hjelper når de som vedlikeholder appene lar være å inkludere sikkerhetsfikser som kommer til populære komponenter som de selv bruker, skrive selskapet videre. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess

– Å holde styr på alle sikkerhetsoppdateringer i alle eksterne komponenter i en sofistikert mobilapp er en langtekkelig oppgave, og det er ingen overraskelse at få utviklere er villige til å gjøre denne innsatsen. Markedsplasser for mobilapper og sikkerhetsforskere skanner aktivt apper etter skadevaremønstre, men gir slik lenge kjente og kritiske sårbarheter mindre oppmerksomhet. Dessverre betyr dette at det ikke er mye sluttbrukeren kan gjøre for å holde den mobile enheten sin helt sikker, konkluderer Check Point.

Selskaper navngir enda flere av berørte appene på denne siden.

Netthandelen øker også denne julen, og ifølge en fersk undersøkelse er nordmenn flinke til å sjekke nettbutikker for mulig svindel før de handler på nett.
Les også

Netthandelen før jul øker – nordmenn mener de er flinke til å avsløre svindel

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra