Publié le

Note de l'éditeur: La pandémie fait toujours rage, et alors que le monde continue de prendre des mesures pour atténuer les graves conséquences économiques pour beaucoup, il y en a aussi qui exploiteraient ces temps difficiles pour leurs avantages, tels que les intrusions dans la cybersécurité. Les malwares, ransomwares, phishing et autres incursions de cybersécurité s'intensifient dans le monde entier, tandis que la bataille réseau entre les adopteurs de cybersécurité et les acteurs de la menace fait rage. Le Centre de recherche sur la cybersécurité Synopsys (CyRC) a récemment publié un rapport de recherche intitulé «Le péril d'une pandémie: l'état des tests de sécurité des applications mobiles». Le rapport décrit de graves préoccupations dans 18 catégories d'applications mobiles populaires, testées via la solution d'analyse binaire Synopsys Black Duck. La version du fournisseur est ci-dessous.


Synopsys Research révèle d'importants problèmes de sécurité dans les applications mobiles populaires au milieu d'une pandémie

L'analyse de 3,335 applications Android populaires montre que la majorité contient des vulnérabilités de sécurité

SINGAPOUR, @mcgallen #microwireinfo, 29 mars 2021 - Synopsys, Inc. (Nasdaq : SNPS) a publié aujourd'hui le rapport, Péril en cas de pandémie: l'état des tests de sécurité des applications mobiles. Le rapport, produit par le Centre de recherche sur la cybersécurité Synopsys (CyRC), examine les résultats d'une étude des 3,335 applications mobiles Android les plus populaires sur le Google Play Store au premier trimestre 2021. Le rapport a révélé que la majorité des applications (63%) contenaient des composants open source avec des vulnérabilités de sécurité connues et a mis en évidence d'autres problèmes de sécurité omniprésents, notamment les données sensibles exposées dans le code de l'application et l'utilisation d'autorisations excessives sur les appareils mobiles.

La recherche, qui a été menée à l'aide de Synopsys Analyse binaire de Black Duck[1], axé sur 18 catégories d'applications mobiles populaires, dont beaucoup ont connu une croissance explosive pendant la pandémie, y compris les affaires, l'éducation et la santé et la forme physique. Les applications classées parmi les plus téléchargées ou les plus rentables sur le Google Play Store. Bien que les résultats de l'analyse de sécurité varient selon la catégorie d'applications, au moins un tiers des applications des 18 catégories contenaient des vulnérabilités de sécurité connues.

«Comme tout autre logiciel, les applications mobiles ne sont pas à l'abri des faiblesses de sécurité et des vulnérabilités qui peuvent mettre les consommateurs et les entreprises en danger», a déclaré Jason Schmitt, directeur général du groupe Synopsys Software Integrity. «Aujourd'hui, la sécurité des applications mobiles est particulièrement importante si l'on considère comment la pandémie a contraint nombre d'entre nous - y compris les enfants, les étudiants et une grande partie de la main-d'œuvre - à s'adapter à des modes de vie éloignés et de plus en plus dépendants du mobile. Dans le contexte de ces changements, ce rapport souligne la nécessité cruciale pour l'écosystème des applications mobiles de relever collectivement la barre du développement et de la maintenance de logiciels sécurisés. »

Les vulnérabilités Open Source dans les applications mobiles sont omniprésentes. Sur les 3,335 applications analysées, 63% contenaient des composants open source avec au moins une vulnérabilité de sécurité connue. Les applications vulnérables contenaient en moyenne 39 vulnérabilités. Au total, CyRC a identifié plus de 3,000 82,000 vulnérabilités uniques, et elles sont apparues plus de XNUMX XNUMX fois.

Les vulnérabilités connues sont un problème résoluble. Bien que le nombre de vulnérabilités découvertes dans cette recherche soit décourageant, il est peut-être plus surprenant que 94% des vulnérabilités détectées aient des correctifs documentés publiquement, ce qui signifie qu'il existe des correctifs de sécurité ou des versions plus récentes et plus sécurisées du composant open source disponibles. De plus, 73% des vulnérabilités détectées ont été divulguées pour la première fois au public il y a plus de deux ans, ce qui indique que les développeurs d'applications ne tiennent tout simplement pas compte de la sécurité des composants utilisés pour créer leurs applications.

Analyse approfondie des vulnérabilités à haut risque. Une analyse plus approfondie a révélé que près de la moitié (43%) des vulnérabilités sont considérées par CyRC comme étant à haut risque parce qu'elles ont été activement exploitées ou sont associées à des exploits de preuve de concept (PoC) documentés. Un peu moins de XNUMX% des vulnérabilités sont associées à un exploit ou un exploit PoC et n'ont pas de correctif disponible. Un pour cent des vulnérabilités sont classés comme des vulnérabilités d'exécution de code à distance (RCE) - qui sont reconnues par beaucoup comme la classe de vulnérabilité la plus grave. 0.64% sont classés comme vulnérabilités RCE et sont associés à un exploit actif ou un exploit PoC.

Fuite d'informations. Lorsque les développeurs exposent involontairement des données sensibles ou personnelles dans le code source ou les fichiers de configuration d'une application, elles peuvent potentiellement être utilisées par des attaquants malveillants pour lancer des attaques ultérieures. CyRC a trouvé des dizaines de milliers de fuites d'informations, où des informations potentiellement sensibles ont été exposées, allant des clés privées et des jetons aux adresses e-mail et IP.

Utilisation excessive des autorisations des appareils mobiles. Les applications mobiles nécessitent souvent l'accès à certaines fonctionnalités ou données de votre appareil mobile pour fonctionner efficacement. Cependant, certaines applications nécessitent imprudemment ou subrepticement un accès beaucoup plus important que nécessaire. Les applications mobiles analysées par CyRC nécessitent en moyenne 18 autorisations d'appareil. Cela comprend une moyenne de 4.5 sensible autorisations, ou celles qui nécessitent le plus d'accès aux données personnelles, et une moyenne de 3 autorisations que Google classe comme "non destinées à un usage tiers". Une application avec plus d'un million de téléchargements nécessitait 1 autorisations que Google classe comme "Niveau de protection: dangereux". Une autre application avec plus de 11 millions de téléchargements nécessitait un total de 5 autorisations, dont 56 classées par Google comme «Niveau de protection: dangereux» ou comme autorisations de signature qui ne doivent pas être utilisées par des applications tierces.

Comparaison des catégories d'applications. Au moins 80% des applications de six des 18 catégories contenaient des vulnérabilités connues, notamment les jeux, les services bancaires, la budgétisation et les applications de paiement. Les catégories de style de vie et de santé et de remise en forme sont à égalité pour le pourcentage le plus faible d'applications vulnérables à 36%. Les catégories bancaires, de paiement et de budgétisation se sont également classées parmi les trois premières pour le nombre moyen le plus élevé d'autorisations d'appareils mobiles requises, bien au-dessus de la moyenne globale de 18. Les jeux, les outils pour les enseignants, l'éducation et les applications de style de vie nécessitaient le nombre moyen d'autorisations le plus bas .

Pour en savoir plus, téléchargez le rapport, Péril en cas de pandémie: l'état des tests de sécurité des applications mobiles.

[1]. L'analyse binaire Black Duck est une fonctionnalité unique de l'offre d'analyse de composition logicielle Black Duck qui peut être utilisée pour détecter les vulnérabilités de sécurité, les fuites d'informations et les autorisations des appareils mobiles dans les logiciels. Contrairement à la plupart des autres outils d'analyse de logiciels, il analyse les binaires compilés au lieu du code source, ce qui signifie qu'il peut analyser pratiquement tous les logiciels, des applications de bureau et mobiles au micrologiciel du système intégré. Pour en savoir plus, regardez l'analyse binaire de Black Duck webinaire.

À propos du groupe d'intégrité logicielle de Synopsys  

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys  

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que société du S&P 500, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et offre le plus large portefeuille d'outils et de services de test de sécurité des applications. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant un code plus sécurisé et de haute qualité, Synopsys dispose des solutions nécessaires pour fournir des produits innovants. En savoir plus sur www.synopsys.com.

###