Veröffentlicht am

Brief des Herausgebers: Die Pandemie tobt immer noch, und während die Welt weiterhin Maßnahmen ergreift, um die schweren wirtschaftlichen Schläge für viele zu mildern, gibt es auch einige, die diese schwierigen Zeiten zu ihren Gunsten nutzen würden, beispielsweise durch Eingriffe in die Cybersicherheit. Malware, Ransomware, Phishing und andere Eingriffe in die Cybersicherheit eskalieren weltweit, während der Netzwerkkampf zwischen den Anwendern der Cybersicherheit und den Bedrohungsakteuren weiter tobt. Das Synopsys Cybersecurity Research Center (CyRC) hat kürzlich einen Forschungsbericht mit dem Titel „Gefahr bei einer Pandemie: Der Stand der Sicherheitstests für mobile Anwendungen“ veröffentlicht. In dem Bericht wurden schwerwiegende Bedenken in 18 beliebten Kategorien für mobile Apps dargelegt, die mit der Synopsys Black Duck Binary Analysis-Lösung getestet wurden. Die Version des Anbieters finden Sie weiter unten.


Synopsys Research enthüllt erhebliche Sicherheitsbedenken in beliebten mobilen Apps inmitten einer Pandemie

Die Analyse von 3,335 beliebten Android-Apps zeigt, dass die meisten Sicherheitslücken enthalten

SINGAPUR, @mcgallen #microwireinfo, 29. März 2021 - Synopsys, Inc. (Nasdaq: SNPS) hat heute den Bericht veröffentlicht, Gefahr bei einer Pandemie: Der Stand der Sicherheitstests für mobile Anwendungen. Der Bericht der Synopsys Cybersecurity Research Center (CyRC) untersucht die Ergebnisse einer Studie der 3,335 beliebtesten mobilen Android-Apps im Google Play Store im ersten Quartal 2021. Der Bericht ergab, dass die Mehrheit der Apps (63%) Open-Source-Komponenten mit bekannten Sicherheitslücken und enthält andere weit verbreitete Sicherheitsbedenken wurden hervorgehoben, einschließlich vertraulicher Daten, die im Anwendungscode enthalten sind, und der Verwendung übermäßiger Berechtigungen für mobile Geräte.

Die Forschung, die mit Synopsys durchgeführt wurde Binäre Analyse der schwarzen Ente[1] konzentrierte sich auf 18 beliebte Kategorien für mobile Apps, von denen viele während der Pandemie ein explosives Wachstum verzeichneten, darunter Business, Bildung sowie Gesundheit und Fitness. Die Apps gehörten zu den am häufigsten heruntergeladenen oder am besten heruntergeladenen Apps im Google Play Store. Während die Ergebnisse der Sicherheitsanalyse je nach App-Kategorie variieren, enthielt mindestens ein Drittel der Apps in allen 18 Kategorien bekannte Sicherheitslücken.

"Wie jede andere Software sind mobile Apps nicht immun gegen Sicherheitslücken und Sicherheitslücken, die Verbraucher und Unternehmen gefährden können", sagte Jason Schmitt, General Manager der Synopsys Software Integrity Group. „Heutzutage ist die Sicherheit mobiler Apps besonders wichtig, wenn man bedenkt, wie die Pandemie viele von uns - einschließlich Kinder, Studenten und große Teile der Belegschaft - gezwungen hat, sich an zunehmend mobil abhängige, entfernte Lebensstile anzupassen. Vor dem Hintergrund dieser Änderungen unterstreicht dieser Bericht die entscheidende Notwendigkeit, dass das Ökosystem für mobile Apps gemeinsam die Messlatte für die Entwicklung und Wartung sicherer Software höher legt. “

Open Source-Schwachstellen in mobilen Apps sind weit verbreitet. Von den 3,335 analysierten Apps enthielten 63% Open Source-Komponenten mit mindestens einer bekannten Sicherheitslücke. Anfällige Apps enthielten durchschnittlich 39 Sicherheitslücken. Insgesamt identifizierte CyRC mehr als 3,000 eindeutige Sicherheitslücken, die mehr als 82,000 Mal auftraten.

Bekannte Schwachstellen sind ein lösbares Problem. Obwohl die Anzahl der in dieser Untersuchung aufgedeckten Sicherheitslücken gewaltig ist, ist es vielleicht überraschender, dass 94% der erkannten Sicherheitslücken öffentlich dokumentierte Korrekturen aufweisen, was bedeutet, dass Sicherheitspatches oder neuere, sicherere Versionen der Open Source-Komponente verfügbar sind. Darüber hinaus wurden 73% der entdeckten Sicherheitslücken vor mehr als zwei Jahren erstmals der Öffentlichkeit zugänglich gemacht, was darauf hinweist, dass App-Entwickler die Sicherheit der Komponenten, die zum Erstellen ihrer Apps verwendet werden, einfach nicht berücksichtigen.

Eingehende Analyse von Sicherheitslücken mit hohem Risiko. Eine gründlichere Analyse ergab, dass fast die Hälfte (43%) der Sicherheitslücken von CyRC als hohes Risiko eingestuft wird, da sie entweder aktiv ausgenutzt wurden oder mit dokumentierten PoC-Exploits (Proof-of-Concept) verbunden sind. Knapp fünf Prozent der Sicherheitslücken sind mit einem Exploit oder PoC-Exploit verbunden and habe keinen Fix zur Verfügung. Ein Prozent der Sicherheitslücken wird als RCE-Sicherheitslücke (Remote Code Execution) eingestuft, die von vielen als die schwerwiegendste Sicherheitslücke eingestuft wird. 0.64% werden als RCE-Schwachstellen eingestuft and sind einem aktiven Exploit oder PoC-Exploit zugeordnet.

Informationsleck. Wenn Entwickler unbeabsichtigt vertrauliche oder persönliche Daten im Quellcode oder in den Konfigurationsdateien einer Anwendung offenlegen, können diese möglicherweise von böswilligen Angreifern verwendet werden, um nachfolgende Angriffe durchzuführen. CyRC stellte Zehntausende von Fällen von Informationslecks fest, bei denen potenziell vertrauliche Informationen offengelegt wurden, von privaten Schlüsseln und Token bis hin zu E-Mail- und IP-Adressen.

Übermäßige Verwendung von Berechtigungen für mobile Geräte. Mobile Apps erfordern häufig den Zugriff auf bestimmte Funktionen oder Daten von Ihrem mobilen Gerät, um effektiv zu funktionieren. Einige Apps erfordern jedoch rücksichtslos oder heimlich weitaus mehr Zugriff als nötig. Für die von CyRC analysierten mobilen Apps sind durchschnittlich 18 Geräteberechtigungen erforderlich. Das beinhaltet einen Durchschnitt von 4.5 empfindlich Berechtigungen oder Berechtigungen, die den meisten Zugriff auf personenbezogene Daten erfordern, und durchschnittlich 3 Berechtigungen, die Google als "nicht für die Verwendung durch Dritte bestimmt" einstuft. Für eine App mit über 1 Million Downloads waren 11 Berechtigungen erforderlich, die Google als "Schutzstufe: Gefährlich" einstuft. Für eine andere App mit über 5 Millionen Downloads waren insgesamt 56 Berechtigungen erforderlich, von denen 31 von Google als "Schutzstufe: Gefährlich" oder als Signaturberechtigungen eingestuft werden, die nicht von Apps von Drittanbietern verwendet werden dürfen.

App-Kategorien vergleichen. Mindestens 80% der Apps in sechs der 18 Kategorien enthielten bekannte Sicherheitslücken, darunter Spiele-, Bank-, Budgetierungs- und Zahlungs-Apps. Die Kategorien Lifestyle sowie Gesundheit und Fitness wiesen mit 36% den niedrigsten Prozentsatz an anfälligen Apps auf. Die Kategorien Banking, Payment und Budgeting rangierten ebenfalls unter den ersten drei für die höchste durchschnittliche Anzahl erforderlicher Berechtigungen für Mobilgeräte und damit weit über dem Gesamtdurchschnitt von 18. Spiele, Tools für Lehrer, Bildungseinrichtungen und Lifestyle-Apps erforderten die niedrigste durchschnittliche Anzahl von Berechtigungen .

Um mehr zu erfahren, laden Sie den Bericht herunter. Gefahr bei einer Pandemie: Der Stand der Sicherheitstests für mobile Anwendungen.

[1]. Die Black Duck-Binäranalyse ist eine einzigartige Funktion des Angebots zur Analyse der Zusammensetzung der Black Duck-Software, mit der Sicherheitslücken, Informationslecks und Berechtigungen für mobile Geräte in Software erkannt werden können. Im Gegensatz zu den meisten anderen Softwareanalyse-Tools werden kompilierte Binärdateien anstelle von Quellcode analysiert. Dies bedeutet, dass praktisch jede Software gescannt werden kann, von Desktop- und Mobilanwendungen bis hin zur Firmware für eingebettete Systeme. Weitere Informationen finden Sie in der Black Duck Binary Analysis Webinar.

Informationen zur Synopsys Software Integrity Group  

Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter www.synopsys.com/software.

Über Synopsys  

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als S & P 500-Unternehmen ist Synopsys seit langem ein weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und bietet das branchenweit breiteste Portfolio an Tools und Services für Tests zur Anwendungssicherheit. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter herstellt, oder ein Softwareentwickler, der sichereren und qualitativ hochwertigen Code schreibt, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###