Veröffentlicht am

Kurzfassung des Herausgebers: Die Pandemie wütet immer noch, und während die Welt weiterhin Maßnahmen ergreift, um die schweren wirtschaftlichen Schläge für viele abzumildern, gibt es auch einige, die diese schwierigen Zeiten zu ihrem Vorteil nutzen würden, beispielsweise durch Eingriffe in die Cybersicherheit. Malware, Ransomware, Phishing und andere Angriffe auf die Cybersicherheit eskalieren weltweit, während der Netzwerkkampf zwischen den Anwendern der Cybersicherheit und den Bedrohungsakteuren weiter tobt. Der Synopsys Das Cybersecurity Research Center (CyRC) hat kürzlich einen Forschungsbericht mit dem Titel „Peril in a Pandemic: The State of Mobile Application Security Testing“ veröffentlicht. Der Bericht skizzierte schwerwiegende Bedenken in 18 beliebten Kategorien mobiler Apps, die durch die getestet wurden Synopsys Lösung für die binäre Analyse von Black Duck. Die Freigabe des Anbieters ist unten.


Synopsys Forschung deckt erhebliche Sicherheitsbedenken bei beliebten mobilen Apps inmitten einer Pandemie auf

Die Analyse von 3,335 beliebten Android-Apps zeigt, dass die meisten Sicherheitslücken enthalten

SINGAPUR, @mcgallen #microwireinfo, 29. März 2021 - Synopsys, Inc. (Nasdaq: SNPS) hat heute den Bericht veröffentlicht, Gefahr bei einer Pandemie: Der Stand der Sicherheitstests für mobile Anwendungen. Der Bericht der Synopsys Forschungszentrum für Cybersicherheit (CyRC) untersucht die Ergebnisse einer Studie der 3,335 beliebtesten mobilen Android-Apps im Google Play Store im ersten Quartal 2021. Der Bericht ergab, dass die Mehrheit der Apps (63%) Open-Source-Komponenten mit bekannten Sicherheitslücken und enthält andere weit verbreitete Sicherheitsbedenken wurden hervorgehoben, einschließlich vertraulicher Daten, die im Anwendungscode enthalten sind, und der Verwendung übermäßiger Berechtigungen für mobile Geräte.

Die Forschung, die mit durchgeführt wurde Synopsys Binäre Analyse der schwarzen Ente[1] konzentrierte sich auf 18 beliebte Kategorien für mobile Apps, von denen viele während der Pandemie ein explosives Wachstum verzeichneten, darunter Business, Bildung sowie Gesundheit und Fitness. Die Apps gehörten zu den am häufigsten heruntergeladenen oder am besten heruntergeladenen Apps im Google Play Store. Während die Ergebnisse der Sicherheitsanalyse je nach App-Kategorie variieren, enthielt mindestens ein Drittel der Apps in allen 18 Kategorien bekannte Sicherheitslücken.

„Wie jede andere Software sind mobile Apps nicht immun gegen Sicherheitsschwächen und Schwachstellen, die Verbraucher und Unternehmen gefährden können“, sagte Jason Schmitt, General Manager der Synopsys Softwareintegritätsgruppe. „Heute ist die Sicherheit mobiler Apps besonders wichtig, wenn man bedenkt, wie die Pandemie viele von uns – darunter Kinder, Studenten und große Teile der Belegschaft – gezwungen hat, sich an einen zunehmend mobilabhängigen, entfernten Lebensstil anzupassen. Vor dem Hintergrund dieser Veränderungen unterstreicht dieser Bericht die entscheidende Notwendigkeit für das mobile App-Ökosystem, gemeinsam die Messlatte für die Entwicklung und Wartung sicherer Software höher zu legen.“

Open Source-Schwachstellen in mobilen Apps sind weit verbreitet. Von den 3,335 analysierten Apps enthielten 63% Open Source-Komponenten mit mindestens einer bekannten Sicherheitslücke. Anfällige Apps enthielten durchschnittlich 39 Sicherheitslücken. Insgesamt identifizierte CyRC mehr als 3,000 eindeutige Sicherheitslücken, die mehr als 82,000 Mal auftraten.

Bekannte Schwachstellen sind ein lösbares Problem. Obwohl die Anzahl der in dieser Untersuchung aufgedeckten Sicherheitslücken gewaltig ist, ist es vielleicht überraschender, dass 94% der erkannten Sicherheitslücken öffentlich dokumentierte Korrekturen aufweisen, was bedeutet, dass Sicherheitspatches oder neuere, sicherere Versionen der Open Source-Komponente verfügbar sind. Darüber hinaus wurden 73% der entdeckten Sicherheitslücken vor mehr als zwei Jahren erstmals der Öffentlichkeit zugänglich gemacht, was darauf hinweist, dass App-Entwickler die Sicherheit der Komponenten, die zum Erstellen ihrer Apps verwendet werden, einfach nicht berücksichtigen.

Eingehende Analyse von Sicherheitslücken mit hohem Risiko. Eine gründlichere Analyse ergab, dass fast die Hälfte (43%) der Sicherheitslücken von CyRC als hohes Risiko eingestuft wird, da sie entweder aktiv ausgenutzt wurden oder mit dokumentierten PoC-Exploits (Proof-of-Concept) verbunden sind. Knapp fünf Prozent der Sicherheitslücken sind mit einem Exploit oder PoC-Exploit verbunden und habe keinen Fix zur Verfügung. Ein Prozent der Sicherheitslücken wird als RCE-Sicherheitslücke (Remote Code Execution) eingestuft, die von vielen als die schwerwiegendste Sicherheitslücke eingestuft wird. 0.64% werden als RCE-Schwachstellen eingestuft und sind einem aktiven Exploit oder PoC-Exploit zugeordnet.

Informationsleck. Wenn Entwickler unbeabsichtigt vertrauliche oder persönliche Daten im Quellcode oder in den Konfigurationsdateien einer Anwendung offenlegen, können diese möglicherweise von böswilligen Angreifern verwendet werden, um nachfolgende Angriffe durchzuführen. CyRC stellte Zehntausende von Fällen von Informationslecks fest, bei denen potenziell vertrauliche Informationen offengelegt wurden, von privaten Schlüsseln und Token bis hin zu E-Mail- und IP-Adressen.

Übermäßige Verwendung von Berechtigungen für mobile Geräte. Mobile Apps erfordern häufig den Zugriff auf bestimmte Funktionen oder Daten von Ihrem mobilen Gerät, um effektiv zu funktionieren. Einige Apps erfordern jedoch rücksichtslos oder heimlich weitaus mehr Zugriff als nötig. Für die von CyRC analysierten mobilen Apps sind durchschnittlich 18 Geräteberechtigungen erforderlich. Das beinhaltet einen Durchschnitt von 4.5 empfindlich Berechtigungen oder Berechtigungen, die den meisten Zugriff auf personenbezogene Daten erfordern, und durchschnittlich 3 Berechtigungen, die Google als "nicht für die Verwendung durch Dritte bestimmt" einstuft. Für eine App mit über 1 Million Downloads waren 11 Berechtigungen erforderlich, die Google als "Schutzstufe: Gefährlich" einstuft. Für eine andere App mit über 5 Millionen Downloads waren insgesamt 56 Berechtigungen erforderlich, von denen 31 von Google als "Schutzstufe: Gefährlich" oder als Signaturberechtigungen eingestuft werden, die nicht von Apps von Drittanbietern verwendet werden dürfen.

App-Kategorien vergleichen. Mindestens 80% der Apps in sechs der 18 Kategorien enthielten bekannte Sicherheitslücken, darunter Spiele-, Bank-, Budgetierungs- und Zahlungs-Apps. Die Kategorien Lifestyle sowie Gesundheit und Fitness wiesen mit 36% den niedrigsten Prozentsatz an anfälligen Apps auf. Die Kategorien Banking, Payment und Budgeting rangierten ebenfalls unter den ersten drei für die höchste durchschnittliche Anzahl erforderlicher Berechtigungen für Mobilgeräte und damit weit über dem Gesamtdurchschnitt von 18. Spiele, Tools für Lehrer, Bildungseinrichtungen und Lifestyle-Apps erforderten die niedrigste durchschnittliche Anzahl von Berechtigungen .

Um mehr zu erfahren, laden Sie den Bericht herunter. Gefahr bei einer Pandemie: Der Stand der Sicherheitstests für mobile Anwendungen.

[1]. Die Black Duck-Binäranalyse ist eine einzigartige Funktion des Angebots zur Analyse der Zusammensetzung der Black Duck-Software, mit der Sicherheitslücken, Informationslecks und Berechtigungen für mobile Geräte in Software erkannt werden können. Im Gegensatz zu den meisten anderen Softwareanalyse-Tools werden kompilierte Binärdateien anstelle von Quellcode analysiert. Dies bedeutet, dass praktisch jede Software gescannt werden kann, von Desktop- und Mobilanwendungen bis hin zur Firmware für eingebettete Systeme. Weitere Informationen finden Sie in der Black Duck Binary Analysis Webinar an.

Über die Synopsys Softwareintegritätsgruppe  

Synopsys Die Software Integrity Group hilft Entwicklungsteams, sichere, qualitativ hochwertige Software zu entwickeln, Risiken zu minimieren und gleichzeitig Geschwindigkeit und Produktivität zu maximieren. Synopsys, ein anerkannter Marktführer im Bereich Anwendungssicherheit, bietet Lösungen für statische Analysen, Softwarezusammensetzungen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open-Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Nur mit einer Kombination aus branchenführenden Tools, Services und Fachwissen Synopsys unterstützt Unternehmen bei der Optimierung von Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung. Erfahren Sie mehr unter www.synopsys.com/Software.

Über mypinio Synopsys  

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software™-Partner für innovative Unternehmen, die elektronische Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als S&P 500-Unternehmen Synopsys blickt auf eine lange Geschichte als weltweit führendes Unternehmen in den Bereichen Electronic Design Automation (EDA) und Halbleiter-IP zurück und bietet das branchenweit breiteste Portfolio an Tools und Dienstleistungen für Anwendungssicherheitstests. Egal, ob Sie ein System-on-Chip (SoC)-Designer sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der sichereren, qualitativ hochwertigen Code schreibt, Synopsys hat die Lösungen, die für die Lieferung innovativer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com €XNUMX.

###