Publicado el

Resumen del editor: La pandemia aún continúa, y mientras el mundo continúa tomando medidas para suavizar los graves golpes económicos que sufren muchos, también hay algunos que aprovecharían estos tiempos difíciles para obtener sus beneficios, como a través de intrusiones en la seguridad cibernética. El malware, el ransomware, el phishing y otras incursiones de ciberseguridad se están intensificando en todo el mundo, mientras que la batalla de la red entre los adoptantes de ciberseguridad y los actores de amenazas continúa. El Centro de Investigación de Seguridad Cibernética de Synopsys (CyRC) publicó recientemente un informe de investigación titulado "Peligro en una pandemia: el estado de las pruebas de seguridad de aplicaciones móviles". El informe describió graves preocupaciones en 18 categorías populares de aplicaciones móviles, probadas a través de la solución de análisis binario Synopsys Black Duck. La versión del proveedor se encuentra a continuación.


La investigación de Synopsys revela importantes preocupaciones de seguridad en aplicaciones móviles populares en medio de una pandemia

El análisis de 3,335 aplicaciones populares de Android muestra que la mayoría contiene vulnerabilidades de seguridad

SINGAPUR, @mcgallen #microwireinfo, 29 de marzo de 2021 , Synopsys, Inc. (Nasdaq: SNPS) publicó hoy el informe, Peligro en una pandemia: el estado de las pruebas de seguridad de aplicaciones móviles. El informe, elaborado por el Centro de investigación de seguridad cibernética de Synopsys (CyRC), examina los resultados de un estudio de las 3,335 aplicaciones móviles de Android más populares en Google Play Store en el primer trimestre de 2021. El informe encontró que la mayoría de las aplicaciones (63%) contenían componentes de código abierto con vulnerabilidades de seguridad conocidas y destacó otras preocupaciones de seguridad generalizadas, incluidos los datos confidenciales expuestos en el código de la aplicación y el uso de permisos de dispositivos móviles excesivos.

La investigación, que se llevó a cabo utilizando Synopsys Análisis binario de Black Duck[1], centrado en 18 categorías populares de aplicaciones móviles, muchas de las cuales han experimentado un crecimiento explosivo durante la pandemia, incluidos negocios, educación y salud y estado físico. Las aplicaciones se encuentran entre las más descargadas o las de mayor recaudación en Google Play Store. Si bien los resultados del análisis de seguridad varían según la categoría de la aplicación, al menos un tercio de las aplicaciones en las 18 categorías contenían vulnerabilidades de seguridad conocidas.

“Como cualquier otro software, las aplicaciones móviles no son inmunes a las debilidades y vulnerabilidades de seguridad que pueden poner en riesgo a consumidores y empresas”, dijo Jason Schmitt, gerente general de Synopsys Software Integrity Group. “Hoy en día, la seguridad de las aplicaciones móviles es especialmente importante si se tiene en cuenta cómo la pandemia nos ha obligado a muchos de nosotros, incluidos niños, estudiantes y gran parte de la fuerza laboral, a adaptarnos a estilos de vida remotos y cada vez más dependientes de los dispositivos móviles. En el contexto de estos cambios, este informe subraya la necesidad crítica de que el ecosistema de aplicaciones móviles eleve colectivamente el nivel para desarrollar y mantener software seguro ".

Las vulnerabilidades de código abierto en las aplicaciones móviles son omnipresentes. De las 3,335 aplicaciones analizadas, el 63% contenía componentes de código abierto con al menos una vulnerabilidad de seguridad conocida. Las aplicaciones vulnerables contenían un promedio de 39 vulnerabilidades. En total, CyRC identificó más de 3,000 vulnerabilidades únicas y aparecieron más de 82,000 veces.

Las vulnerabilidades conocidas son un problema con solución. Si bien la cantidad de vulnerabilidades descubiertas en esta investigación es desalentadora, quizás sea más sorprendente que el 94% de las vulnerabilidades detectadas tengan correcciones documentadas públicamente, lo que significa que hay parches de seguridad o versiones más nuevas y seguras del componente de código abierto disponibles. Además, el 73% de las vulnerabilidades detectadas se revelaron al público por primera vez hace más de dos años, lo que indica que los desarrolladores de aplicaciones simplemente no están considerando la seguridad de los componentes utilizados para crear sus aplicaciones.

Análisis en profundidad de vulnerabilidades de alto riesgo. Un análisis más exhaustivo reveló que CyRC considera que casi la mitad (43%) de las vulnerabilidades son de alto riesgo porque han sido explotadas activamente o están asociadas con exploits de prueba de concepto (PoC) documentados. Poco menos del cinco por ciento de las vulnerabilidades están asociadas con un exploit o un exploit PoC. y no tengo ninguna solución disponible. El uno por ciento de las vulnerabilidades se clasifican como vulnerabilidades de ejecución remota de código (RCE), que muchos reconocen como la clase de vulnerabilidad más grave. 0.64% se clasifican como vulnerabilidades RCE y están asociados con un exploit activo o PoC exploit.

Fuga de información. Cuando los desarrolladores exponen involuntariamente datos confidenciales o personales en el código fuente o en los archivos de configuración de una aplicación, los atacantes malintencionados pueden utilizarlos para realizar ataques posteriores. CyRC encontró decenas de miles de casos de filtración de información, donde se expuso información potencialmente sensible, que van desde claves privadas y tokens hasta direcciones de correo electrónico e IP.

Uso excesivo de permisos de dispositivos móviles. Las aplicaciones móviles a menudo requieren acceso a ciertas funciones o datos de su dispositivo móvil para funcionar de manera efectiva. Sin embargo, algunas aplicaciones de forma imprudente o subrepticia requieren mucho más acceso del necesario. Las aplicaciones móviles analizadas por CyRC requieren un promedio de 18 permisos de dispositivo. Eso incluye un promedio de 4.5 sensible permisos, o aquellos que requieren el mayor acceso a datos personales, y un promedio de 3 permisos que Google clasifica como "no destinados al uso de terceros". Una aplicación con más de 1 millón de descargas requirió 11 permisos que Google clasifica como "Nivel de protección: peligroso". Otra aplicación con más de 5 millones de descargas requirió un total de 56 permisos, 31 de los cuales Google clasifica como "Nivel de protección: peligroso" o como permisos de firma que no deben ser utilizados por aplicaciones de terceros.

Comparación de categorías de aplicaciones. Al menos el 80% de las aplicaciones en seis de las 18 categorías contenían vulnerabilidades conocidas, incluidos juegos, banca, presupuestos y aplicaciones de pago. Las categorías de estilo de vida y salud y estado físico empataron con el porcentaje más bajo de aplicaciones vulnerables con un 36%. Las categorías de banca, pagos y presupuestos también se ubicaron entre las tres principales por el número promedio más alto de permisos de dispositivos móviles requeridos, muy por encima del promedio general de 18. Los juegos, las herramientas para maestros, la educación y las aplicaciones de estilo de vida requerían el número promedio más bajo de permisos .

Para obtener más información, descargue el informe, Peligro en una pandemia: el estado de las pruebas de seguridad de aplicaciones móviles.

[1]. Black Duck Binary Analysis es una característica única de la oferta de análisis de composición del software Black Duck que se puede utilizar para detectar vulnerabilidades de seguridad, fugas de información y permisos de dispositivos móviles en el software. A diferencia de la mayoría de las otras herramientas de análisis de software, analiza binarios compilados en lugar de código fuente, lo que significa que puede escanear prácticamente cualquier software, desde aplicaciones de escritorio y móviles hasta firmware de sistema integrado. Para obtener más información, vea el análisis binario de Black Duck Webinar.

Acerca del grupo de integridad del software Synopsys  

Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

Sobre Synopsys  

Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como empresa S&P 500, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y ofrece la cartera más amplia de la industria de herramientas y servicios de prueba de seguridad de aplicaciones. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe código más seguro y de alta calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores. Obtenga más información en www.synopsys.com.

###