Tietoturvayhtiö Check Pointin tutkijoiden mukaan hakkerit olisivat voineet esimerkiksi muokata Facebook-päivityksiä tai lukea viestejä kiinalaisesta WeChat-palvelusta.

Tutkimustulokset osoittavat aiheelliseksi Check Pointin huolen siitä, että myös uusissa Googlen kaupasta löytyvissä sovelluksissa saattaa olla jo pitkään tiedossa olleita haavoittuvuuksia. Tämä johtuu tavasta, jolla natiivikirjastoja eli uudelleenkäytettäviä komponentteja hyödynnetään sovelluksissa. Kun avoimen lähdekoodin projektiin tehdään tietoturvapaikkaus, ei se yleensä välity natiivikirjastoon tai sitä käyttäviin sovelluksiin – tällä tavoin haavoittuvuus saattaa piileskellä sovellusten koodissa jopa vuosia tietoturva-aukon löytymisen ja paikkaamiseen jälkeen.

Check Point tosin huomauttaa itsekin, etteivät natiivikirjastojen haavoittuvuudet suoranaisesti tarkoita sitä, että itse sovelluskin olisi haavoittuva. Yhtiö luonnehtii havaintoja silti hälyttäviksi.

Tutkijat kahlasivat kesällä läpi satoja sovelluksia Googlen kaupasta tarkistaakseen, onko niissä paikattu kolme kriittistä ace-haavoittuvuutta (arbitrary code execution) vuosilta 2014, 2015 ja 2016. Paikkaamattomia haavoittuvuuksia löytyi muun muassa Yahoo Browserista, Facebookista, Messengeristä, AliExpressistä ja WeChatista.

Check Pointin mielestä on kyseenalaista, ettei Google valvo sitä, että sovelluskehittäjät pitäisivät sovelluksensa ajan tasalla. Päivityksiin kyllä tarjotaan mahdollisuus, mutta niitä ei vaadita.

Facebookin edustaja kommentoi The Next Webille, etteivät Check Pointin esiin tuomat tietoturvaongelmat uhkaa Facebook-käyttäjiä – kiitos ”koodia käyttävien järjestelmien suunnittelun”.