Check Point Research, die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP) deckt Nachlässigkeiten in Smartphone-Apps auf. Längst bekannte Schwachstellen liegen in beliebten Android-Apps weiterhin offen und stellen Einfallstore für Kriminelle dar.
Konkret handelt es sich um kritische Lücken aus den Jahren 2014, 2015 und 2016 mit den Signaturen CVE-2014-8962, CVE-2015-8271 und CVE-2016-3062.
Üblicherweise bestehen viele beliebte Programme aus verschiedenen Versatzbausteinen, die in einer einfachen Programmiersprache, wie C, geschrieben wurden. Diese Einzelteile werden native libraries genannt, die oft wiederrum aus Open-Source-Projekten stammen. Daraus aber entsteht eine große Gefahr: Wenn eine Schwachstelle gefunden und geschlossen wird, haben die Entwickler des Open-Source-Projekts meist keine Handhabe, ob der Patch auch in die frei verfügbaren native libraries eingespielt wird, geschweige denn, ob diese weiter genutzt werden. Das kann dazu führen, dass einige Apps längst bekannte Sicherheitslücken mit sich herumschleppen. Zwar bedeutet das nicht, dass die App völlig unsicher ist, aber die Schwachstelle liegt offen und stellt eine große Bedrohung für die Geräte der Endbenutzer dar. Zudem sagt es viel über die Wartung der Entwickler hinter der Anwendung aus.
Die Sicherheitsforscher haben nun eine Reihe von Android-Apps im Google Play Store entdeckt, die unter solchen Schwachstellen leiden. Darunter sind weitverbreitete und beliebte Programme, wie Facebook, Messenger, WeChat und einige Yahoo-Apps. Die meisten dieser Smartphone-Anwendungen wurden weltweit über 10 Millionen Mal heruntergeladen und erfreuen sich auch in Deutschland sehr hoher Nutzerzahlen.
https://research.checkpoint.com/2019/long-known-vulnerabilities-in-high-profile-android-applications/