Publié le

Editor’s brief: The pandemic is still raging, and while the world continues to carry on measures to soften the grave economic blows to many, there are also some who would exploit these trying times for their benefits, such as through cybersecurity intrusions. Malware, ransomware, phishing, and other cybersecurity incursions are escalating worldwide, while the network battle between the cybersecurity adopters and threat actors rage on. The Synopsys Cybersecurity Research Center (CyRC) recently released a research report titled “Peril in a Pandemic: The State of Mobile Application Security Testing”. The report outlined grave concerns in 18 popular mobile app categories, tested through the Synopsys Black Duck Binary Analysis solution. The vendor’s release is below.


Synopsys Research Reveals Significant Security Concerns in Popular Mobile Apps Amid Pandemic

L'analyse de 3,335 applications Android populaires montre que la majorité contient des vulnérabilités de sécurité

SINGAPOUR, @mcgallen #microwireinfo, 29 mars 2021 - Synopsys, Inc. (Nasdaq : SNPS) a publié aujourd'hui le rapport, Péril en cas de pandémie: l'état des tests de sécurité des applications mobiles. Le rapport, produit par le Synopsys Centre de recherche sur la cybersécurité (CyRC), examine les résultats d'une étude des 3,335 applications mobiles Android les plus populaires sur le Google Play Store au premier trimestre 2021. Le rapport a révélé que la majorité des applications (63%) contenaient des composants open source avec des vulnérabilités de sécurité connues et a mis en évidence d'autres problèmes de sécurité omniprésents, notamment les données sensibles exposées dans le code de l'application et l'utilisation d'autorisations excessives sur les appareils mobiles.

The research, which was conducted using Synopsys Analyse binaire de Black Duck[1], axé sur 18 catégories d'applications mobiles populaires, dont beaucoup ont connu une croissance explosive pendant la pandémie, y compris les affaires, l'éducation et la santé et la forme physique. Les applications classées parmi les plus téléchargées ou les plus rentables sur le Google Play Store. Bien que les résultats de l'analyse de sécurité varient selon la catégorie d'applications, au moins un tiers des applications des 18 catégories contenaient des vulnérabilités de sécurité connues.

“Like any other software, mobile apps are not immune to security weaknesses and vulnerabilities that can put consumers and businesses at risk,” said Jason Schmitt, general manager of the Synopsys Software Integrity Group. “Today, mobile app security is especially important when you consider how the pandemic has forced many of us — including children, students, and large portions of the workforce — to adapt to increasingly mobile-dependent, remote lifestyles. Against the backdrop of these changes, this report underscores the critical need for the mobile app ecosystem to collectively raise the bar for developing and maintaining secure software.”

Les vulnérabilités Open Source dans les applications mobiles sont omniprésentes. Sur les 3,335 applications analysées, 63% contenaient des composants open source avec au moins une vulnérabilité de sécurité connue. Les applications vulnérables contenaient en moyenne 39 vulnérabilités. Au total, CyRC a identifié plus de 3,000 82,000 vulnérabilités uniques, et elles sont apparues plus de XNUMX XNUMX fois.

Les vulnérabilités connues sont un problème résoluble. Bien que le nombre de vulnérabilités découvertes dans cette recherche soit décourageant, il est peut-être plus surprenant que 94% des vulnérabilités détectées aient des correctifs documentés publiquement, ce qui signifie qu'il existe des correctifs de sécurité ou des versions plus récentes et plus sécurisées du composant open source disponibles. De plus, 73% des vulnérabilités détectées ont été divulguées pour la première fois au public il y a plus de deux ans, ce qui indique que les développeurs d'applications ne tiennent tout simplement pas compte de la sécurité des composants utilisés pour créer leurs applications.

Analyse approfondie des vulnérabilités à haut risque. Une analyse plus approfondie a révélé que près de la moitié (43%) des vulnérabilités sont considérées par CyRC comme étant à haut risque parce qu'elles ont été activement exploitées ou sont associées à des exploits de preuve de concept (PoC) documentés. Un peu moins de XNUMX% des vulnérabilités sont associées à un exploit ou un exploit PoC et n'ont pas de correctif disponible. Un pour cent des vulnérabilités sont classés comme des vulnérabilités d'exécution de code à distance (RCE) - qui sont reconnues par beaucoup comme la classe de vulnérabilité la plus grave. 0.64% sont classés comme vulnérabilités RCE et sont associés à un exploit actif ou un exploit PoC.

Fuite d'informations. Lorsque les développeurs exposent involontairement des données sensibles ou personnelles dans le code source ou les fichiers de configuration d'une application, elles peuvent potentiellement être utilisées par des attaquants malveillants pour lancer des attaques ultérieures. CyRC a trouvé des dizaines de milliers de fuites d'informations, où des informations potentiellement sensibles ont été exposées, allant des clés privées et des jetons aux adresses e-mail et IP.

Utilisation excessive des autorisations des appareils mobiles. Les applications mobiles nécessitent souvent l'accès à certaines fonctionnalités ou données de votre appareil mobile pour fonctionner efficacement. Cependant, certaines applications nécessitent imprudemment ou subrepticement un accès beaucoup plus important que nécessaire. Les applications mobiles analysées par CyRC nécessitent en moyenne 18 autorisations d'appareil. Cela comprend une moyenne de 4.5 sensible autorisations, ou celles qui nécessitent le plus d'accès aux données personnelles, et une moyenne de 3 autorisations que Google classe comme "non destinées à un usage tiers". Une application avec plus d'un million de téléchargements nécessitait 1 autorisations que Google classe comme "Niveau de protection: dangereux". Une autre application avec plus de 11 millions de téléchargements nécessitait un total de 5 autorisations, dont 56 classées par Google comme «Niveau de protection: dangereux» ou comme autorisations de signature qui ne doivent pas être utilisées par des applications tierces.

Comparaison des catégories d'applications. Au moins 80% des applications de six des 18 catégories contenaient des vulnérabilités connues, notamment les jeux, les services bancaires, la budgétisation et les applications de paiement. Les catégories de style de vie et de santé et de remise en forme sont à égalité pour le pourcentage le plus faible d'applications vulnérables à 36%. Les catégories bancaires, de paiement et de budgétisation se sont également classées parmi les trois premières pour le nombre moyen le plus élevé d'autorisations d'appareils mobiles requises, bien au-dessus de la moyenne globale de 18. Les jeux, les outils pour les enseignants, l'éducation et les applications de style de vie nécessitaient le nombre moyen d'autorisations le plus bas .

Pour en savoir plus, téléchargez le rapport, Péril en cas de pandémie: l'état des tests de sécurité des applications mobiles.

[1]. L'analyse binaire Black Duck est une fonctionnalité unique de l'offre d'analyse de composition logicielle Black Duck qui peut être utilisée pour détecter les vulnérabilités de sécurité, les fuites d'informations et les autorisations des appareils mobiles dans les logiciels. Contrairement à la plupart des autres outils d'analyse de logiciels, il analyse les binaires compilés au lieu du code source, ce qui signifie qu'il peut analyser pratiquement tous les logiciels, des applications de bureau et mobiles au micrologiciel du système intégré. Pour en savoir plus, regardez l'analyse binaire de Black Duck webinaire.

À propos du Synopsys Groupe d'intégrité logicielle  

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, en minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, un leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de la composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Grâce à une combinaison d'outils, de services et d'expertise de pointe, seuls Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/logiciel.

À propos de Synopsys  

Synopsys, Inc. (Nasdaq : SNPS) est le partenaire Silicon to Software™ des entreprises innovantes qui développent les produits électroniques et les applications logicielles sur lesquels nous comptons au quotidien. En tant qu'entreprise du S&P 500, Synopsys a une longue histoire en tant que leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et offre le plus large portefeuille d'outils et de services de test de sécurité des applications du secteur. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant un code plus sécurisé et de haute qualité, Synopsys a les solutions nécessaires pour livrer des produits innovants. En savoir plus sur www.synopsys.com.

###