安全更新、升級到最新版也不安全

大多數手機用戶都很擔心設備的核心操作系統中存在的已知漏洞和0 day漏洞，因為攻擊者利用這些漏洞可以完全控制其移動設備。

一般在軟體組件中發現漏洞後都會立即修復。因此維護最新版本的手機操作系統和應用，就可以使手機設備保持安全。但Check Point研究人員近期發現除了修復的漏洞重要外，一些過期的代碼仍然存在於許多主流的APP中。

主流的移動APP都會復用一些底層語言編寫的組件，如C語言。這些組件也叫做本地庫，一般是來自開源項目的。如果在開源項目中找到一個漏洞，雖然修復了，但維護人員對受到該漏洞影響的本地庫無法控制，同樣無法控制受到漏洞影響的app。這也就算APP如何保持在漏洞發現後很久仍然使用過時的代碼。

研究人員假設Google Play中的APP應該也存在這種報告很久的漏洞。為了驗證該假設，研究人員掃描了與有漏洞的開源代碼版本相關的模式。下表是研究人員掃描得到的結果，截至2019年6月，研究人員發現了3個2014、2015和2016年發現的高危漏洞。受影響的APP包括知名的雅虎、Facebook、Instagram和微信。

CVE-2014-8962 (FLAC audio codec)

FLAC是開源的無損音頻編解碼器。libFLAC項目是針對原始FLAC及Ogg FLAC音頻內容的開源庫，實現了參考編碼及解碼器。CVE-2014-8962漏洞是libFLAC

CVE-2015-8271 (FFmpeg RTMP video streaming)

受影響的產品包括微信。

CVE-2016-3062 (FFmpeg libavformat media handling)

漏洞位於libavformat/mov.c的mov_read_dref函數，允許遠程攻擊者引發DoS攻擊或通過MP4文件中的dref的記錄值來執行任意代碼。

受影響的產品涉及全球速賣通（英文名：AliExpress）。

研究人員在測試中還在Instagram中發現存在CVE-2016-3062漏洞。但與Facebook的溝通中，給出的回應是：Instagram不受CVE-2016-3062漏洞的影響。

需要說明的是本研究主要是針對Google Play中的應用，但不針對任何應用中的任何特定漏洞。

上面提到的這3個漏洞都在2年前修復了，當年這3個漏洞使上百個APP受到遠程代碼執行漏洞的影響。設想一下，攻擊者掃描了Google Play，然後在其中發現了100個已知的漏洞，很可怕！！！

下面的demo視頻是CVE-2016-3062漏洞使最新版的VivaVideo app奔潰的PoC視頻。

https://research.checkpoint.com/wp-content/uploads/2019/10/Crash_from_2016.mp4

結論

如果你的手機安裝了最新的操作系統、安全更新，應用也都升級到最新版本，那麼就安全了嗎？一般認為是的，因為這也是安全最佳實踐的內容，但事實並非如此。手機應用商店和安全研究任意主要掃描app來進行惡意軟體模式匹配，但很少關注已經報告的古老的關鍵漏洞，但這也是安全漏洞存在的地方。

本文翻譯自：https://research.checkpoint.com/2019/long-known-vulnerabilities-in-high-profile-android-applications/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！