В октябре 2019 года разработчики WhatsApp для Android исправили в своем приложении опасный баг. Оказалось, что при помощи обычного файла GIF на уязвимом устройстве можно было удаленно выполнить произвольный код и получить доступ к конфиденциальным данным пользователя.

Баг относится к классу double-free и получил идентификатор CVE-2019-11932. Проблема позволяла удаленно выполнять код на устройствах под управлением Android 8.1 и 9.0, а в предыдущих версиях мобильной ОС баг можно было использовать только для провоцирования отказа в обслуживании (DoS).

Специалисты Trend Micro предупреждают, что недавно исправленная в мессенджере уязвимость  опасна и для множества других приложений.

Эксперты объясняют, что проблема связана с опенсорсной библиотекой libpl_droidsonroids_gif.so, которая является частью пакета android-gif-drawable и используется многими приложениями для Android при обработке файлов GIF. И если в WhatsApp баг устранили с релизом версии 2.19.244, то в других приложениях уязвимость по-прежнему существует.

По информации исследователей, только в каталоге Google Play по-прежнему уязвимы более 3000 приложений, использующих libpl_droidsonroids_gif.so. Хуже того, проблема угрожает и многим приложений из сторонних каталогов, таких как 1mobile, 9Apps, 91 market, APKPure, Aptoide, 360 Market, PP Assistant, QQ Market и Xiaomi Market.

Количество проблемных приложений в каталогах

Специалисты Trend Micro призвали разработчиков как можно скорее обновить библиотеку libpl_droidsonroids_gif.so и прекратить подвергать пользователей риску.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии