diposting di

Ringkasan editor: Pandemi masih berkecamuk, dan sementara dunia terus melakukan tindakan untuk melunakkan pukulan ekonomi yang parah bagi banyak orang, ada juga beberapa yang akan memanfaatkan masa-masa sulit ini untuk keuntungan mereka, seperti melalui gangguan keamanan siber. Malware, ransomware, phishing, dan serangan keamanan siber lainnya meningkat di seluruh dunia, sementara pertempuran jaringan antara pengadopsi keamanan siber dan pelaku ancaman berkecamuk. Synopsys Cybersecurity Research Center (CyRC) baru-baru ini merilis laporan penelitian berjudul "Peril in a Pandemic: The State of Mobile Application Security Testing". Laporan tersebut menguraikan kekhawatiran besar dalam 18 kategori aplikasi seluler populer, yang diuji melalui solusi Synopsys Black Duck Binary Analysis. Rilis vendor ada di bawah.


Penelitian Synopsys Mengungkapkan Masalah Keamanan yang Signifikan di Aplikasi Seluler Populer di Tengah Pandemi

Analisis terhadap 3,335 aplikasi Android populer menunjukkan mayoritas mengandung kerentanan keamanan

SINGAPURA, @mcgallen #microwireinfo, 29 Maret 2021 - Synopsys, Inc.. (Nasdaq: SNPS) hari ini merilis laporan, Bahaya dalam Pandemi: Keadaan Pengujian Keamanan Aplikasi Seluler. Laporan, diproduksi oleh Synopsys Cybersecurity Research Center (CyRC), memeriksa hasil studi dari 3,335 aplikasi seluler Android terpopuler di Google Play Store pada kuartal pertama tahun 2021. Laporan tersebut menemukan sebagian besar aplikasi (63%) berisi komponen open source dengan kerentanan keamanan yang diketahui dan menyoroti masalah keamanan yang meresap lainnya termasuk data sensitif yang terungkap dalam kode aplikasi dan penggunaan izin perangkat seluler yang berlebihan.

Penelitian yang dilakukan menggunakan Synopsys Analisis Biner Black Duck[1], berfokus pada 18 kategori aplikasi seluler populer, banyak di antaranya telah mengalami pertumbuhan eksplosif selama pandemi, termasuk bisnis, pendidikan, dan kesehatan & kebugaran. Aplikasi berada di antara yang paling banyak diunduh atau terlaris di Google Play Store. Meskipun hasil analisis keamanan bervariasi menurut kategori aplikasi, setidaknya sepertiga dari aplikasi di semua 18 kategori memiliki kerentanan keamanan yang diketahui.

“Seperti perangkat lunak lainnya, aplikasi seluler tidak kebal terhadap kelemahan dan kerentanan keamanan yang dapat membahayakan konsumen dan bisnis,” kata Jason Schmitt, manajer umum Synopsys Software Integrity Group. “Saat ini, keamanan aplikasi seluler sangat penting ketika Anda mempertimbangkan bagaimana pandemi telah memaksa banyak dari kita - termasuk anak-anak, pelajar, dan sebagian besar tenaga kerja - untuk beradaptasi dengan gaya hidup jarak jauh yang semakin bergantung pada seluler. Dengan latar belakang perubahan ini, laporan ini menggarisbawahi kebutuhan kritis ekosistem aplikasi seluler untuk secara kolektif meningkatkan standar dalam mengembangkan dan memelihara perangkat lunak yang aman. ”

Kerentanan open source di aplikasi seluler tersebar luas. Dari 3,335 aplikasi yang dianalisis, 63% berisi komponen open source dengan setidaknya satu kerentanan keamanan yang diketahui. Aplikasi yang rentan memiliki rata-rata 39 kerentanan. Secara total, CyRC mengidentifikasi lebih dari 3,000 kerentanan unik, dan kerentanan tersebut muncul lebih dari 82,000 kali.

Kerentanan yang diketahui adalah masalah yang bisa dipecahkan. Meskipun jumlah kerentanan yang ditemukan dalam penelitian ini cukup banyak, mungkin lebih mengejutkan bahwa 94% dari kerentanan yang terdeteksi memiliki perbaikan yang didokumentasikan secara publik, yang berarti ada patch keamanan atau versi komponen open source yang lebih baru dan lebih aman yang tersedia. Selain itu, 73% kerentanan yang terdeteksi pertama kali diungkapkan kepada publik lebih dari dua tahun lalu, yang menunjukkan bahwa pengembang aplikasi sama sekali tidak mempertimbangkan keamanan komponen yang digunakan untuk membangun aplikasi mereka.

Analisis mendalam tentang kerentanan berisiko tinggi. Analisis yang lebih menyeluruh mengungkapkan bahwa hampir setengah (43%) dari kerentanan dianggap oleh CyRC sebagai risiko tinggi karena mereka telah dieksploitasi secara aktif atau terkait dengan eksploitasi bukti konsep (PoC) yang terdokumentasi. Hanya di bawah lima persen dari kerentanan terkait dengan eksploitasi atau eksploitasi PoC serta tidak ada perbaikan yang tersedia. Satu persen dari kerentanan diklasifikasikan sebagai kerentanan eksekusi kode jarak jauh (RCE) - yang diakui oleh banyak orang sebagai kelas kerentanan yang paling parah. 0.64% diklasifikasikan sebagai kerentanan RCE serta terkait dengan eksploitasi aktif atau eksploitasi PoC.

Kebocoran informasi. Ketika pengembang secara tidak sengaja mengekspos data sensitif atau pribadi dalam kode sumber atau file konfigurasi aplikasi, ini berpotensi digunakan oleh penyerang jahat untuk memasang serangan berikutnya. CyRC menemukan puluhan ribu contoh kebocoran informasi, di mana informasi yang berpotensi sensitif terungkap, mulai dari kunci pribadi dan token hingga alamat email dan IP.

Penggunaan izin perangkat seluler yang berlebihan. Aplikasi seluler sering kali memerlukan akses ke fitur atau data tertentu dari perangkat seluler Anda agar berfungsi secara efektif. Namun, beberapa aplikasi secara sembarangan atau diam-diam membutuhkan lebih banyak akses daripada yang diperlukan. Aplikasi seluler yang dianalisis oleh CyRC membutuhkan rata-rata 18 izin perangkat. Itu termasuk rata-rata 4.5 peka izin, atau yang paling membutuhkan akses ke data pribadi, dan rata-rata 3 izin yang diklasifikasikan Google sebagai "tidak dimaksudkan untuk penggunaan pihak ketiga". Satu aplikasi dengan lebih dari 1 juta unduhan memerlukan 11 izin yang diklasifikasikan Google sebagai "Tingkat Perlindungan: Berbahaya". Aplikasi lain dengan lebih dari 5 juta unduhan memerlukan total 56 izin, 31 di antaranya diklasifikasikan Google sebagai "Tingkat Perlindungan: Berbahaya" atau sebagai izin tanda tangan yang tidak boleh digunakan oleh aplikasi pihak ketiga.

Membandingkan kategori aplikasi. Setidaknya 80% dari aplikasi di enam dari 18 kategori mengandung kerentanan yang diketahui, termasuk game, perbankan, penganggaran, dan aplikasi pembayaran. Kategori gaya hidup dan kesehatan & kebugaran menduduki persentase terendah dari aplikasi rentan, yaitu 36%. Kategori perbankan, pembayaran, dan penganggaran juga berada di peringkat tiga teratas untuk jumlah rata-rata tertinggi dari izin perangkat seluler yang diperlukan, jauh di atas rata-rata keseluruhan 18. Game, alat untuk guru, pendidikan, dan aplikasi gaya hidup memerlukan jumlah izin rata-rata terendah .

Untuk mempelajari lebih lanjut, unduh laporan, Bahaya dalam Pandemi: Keadaan Pengujian Keamanan Aplikasi Seluler.

[1]. Analisis Biner Black Duck adalah fitur unik dari penawaran analisis komposisi perangkat lunak Black Duck yang dapat digunakan untuk mendeteksi kerentanan keamanan, kebocoran informasi, dan izin perangkat seluler dalam perangkat lunak. Tidak seperti kebanyakan alat analisis perangkat lunak lainnya, alat ini menganalisis binari yang dikompilasi alih-alih kode sumber, yang berarti dapat memindai hampir semua perangkat lunak, dari aplikasi desktop dan seluler hingga firmware sistem tertanam. Untuk mempelajari lebih lanjut, tonton Analisis Biner Bebek Hitam webinar.

Tentang Grup Integritas Perangkat Lunak Synopsys  

Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Synopsys  

Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan S&P 500, Synopsys memiliki sejarah panjang menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan menawarkan portofolio alat dan layanan pengujian keamanan aplikasi terluas di industri. Baik Anda perancang system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis kode berkualitas tinggi yang lebih aman, Synopsys memiliki solusi yang diperlukan untuk menghadirkan produk inovatif. Pelajari lebih lanjut di www.synopsys.com.

# # #