ポストする

編集者の概要:パンデミックは依然として激しさを増しており、世界は多くの人々の深刻な経済的打撃を和らげるための対策を続けていますが、サイバーセキュリティの侵入などを通じて、これらの試練の時間を利益のために悪用する人もいます。 マルウェア、ランサムウェア、フィッシング、およびその他のサイバーセキュリティの侵入は世界中で拡大しており、サイバーセキュリティの採用者と脅威の攻撃者の間のネットワークの戦いは激しさを増しています。 Synopsys Cyber​​security Research Center(CyRC)は最近、「パンデミックの危険性:モバイルアプリケーションのセキュリティテストの現状」というタイトルの調査レポートをリリースしました。 このレポートでは、Synopsys Black Duck Binary Analysisソリューションを通じてテストされた、18の人気のあるモバイルアプリカテゴリにおける重大な懸念について概説しました。 ベンダーのリリースは以下のとおりです。


Synopsys Researchは、パンデミックの中で人気のあるモバイルアプリにおける重大なセキュリティ上の懸念を明らかにしました

3,335の人気のあるAndroidアプリを分析すると、大部分にセキュリティの脆弱性が含まれていることがわかります

シンガポール、@ mcgallen#microwire情報、29年2021月XNUMX日 シノプシス。 (ナスダック: SNPS)本日、レポートをリリースしました。 パンデミックの危機:モバイルアプリケーションのセキュリティテストの現状。 によって作成されたレポート Synopsysサイバーセキュリティリサーチセンター (CyRC)は、3,335年の第2021四半期にGoogle Playストアで最も人気のある63のAndroidモバイルアプリの調査結果を調べています。レポートでは、アプリの大部分(XNUMX%)に既知のセキュリティ脆弱性を備えたオープンソースコンポーネントが含まれていることがわかりました。アプリケーションコードで公開された機密データや過度のモバイルデバイス権限の使用など、他の広範なセキュリティ上の懸念を強調しました。

シノプシスを使用して実施された調査 ブラックダックバイナリ分析[1]は、18の人気のあるモバイルアプリのカテゴリに焦点を当てており、その多くは、ビジネス、教育、健康とフィットネスなど、パンデミックの間に爆発的な成長を遂げています。 アプリは、GooglePlayストアで最もダウンロードされたアプリまたは売上トップのアプリにランクインしました。 セキュリティ分析の結果はアプリのカテゴリによって異なりますが、18のカテゴリすべてのアプリの少なくともXNUMX分のXNUMXに既知のセキュリティの脆弱性が含まれていました。

Synopsys Software IntegrityGroupのゼネラルマネージャーであるJasonSchmittは、次のように述べています。「他のソフトウェアと同様に、モバイルアプリは、消費者や企業を危険にさらす可能性のあるセキュリティの弱点や脆弱性の影響を受けません。 「今日、パンデミックにより、子供、学生、従業員の大部分を含む多くの人々が、ますますモバイルに依存するリモートライフスタイルに適応することを余儀なくされていることを考えると、モバイルアプリのセキュリティは特に重要です。 これらの変更を背景に、このレポートは、モバイルアプリエコシステムが安全なソフトウェアを開発および維持するための基準を集合的に引き上げるという重大な必要性を強調しています。」

モバイルアプリのオープンソースの脆弱性は蔓延しています。 分析された3,335個のアプリのうち、63%には、少なくとも39つの既知のセキュリティ脆弱性を持つオープンソースコンポーネントが含まれていました。 脆弱なアプリには、平均3,000の脆弱性が含まれていました。 合計で、CyRCは82,000以上の固有の脆弱性を特定し、それらはXNUMX回以上出現しました。

既知の脆弱性は解決可能な問題です。 この調査で発見された脆弱性の数は気が遠くなるほどで​​すが、検出された脆弱性の94%が公に文書化された修正を持っていることはおそらくもっと驚くべきことです。つまり、セキュリティパッチまたは新しいより安全なバージョンのオープンソースコンポーネントが利用可能です。 さらに、検出された脆弱性の73%は、XNUMX年以上前に最初に公開されました。これは、アプリ開発者がアプリの構築に使用されるコンポーネントのセキュリティを考慮していないことを示しています。

高リスクの脆弱性の詳細な分析。 より徹底的な分析により、脆弱性のほぼ半分(43%)が、積極的に悪用されているか、文書化された概念実証(PoC)の悪用に関連しているため、CyRCによって高リスクと見なされていることが明らかになりました。 脆弱性のXNUMX%弱が、エクスプロイトまたはPoCエクスプロイトに関連しています。 利用可能な修正はありません。 脆弱性の0.64%は、リモートコード実行(RCE)の脆弱性として分類されます。これは、最も深刻なクラスの脆弱性として多くの人に認識されています。 XNUMX%がRCEの脆弱性に分類されます アクティブなエクスプロイトまたはPoCエクスプロイトに関連付けられています。

情報漏えい。 開発者がアプリケーションのソースコードまたは構成ファイル内の機密データや個人データを意図せずに公開すると、悪意のある攻撃者がそれを使用して後続の攻撃を仕掛ける可能性があります。 CyRCは、秘密鍵やトークンから電子メールやIPアドレスに至るまで、潜在的に機密性の高い情報が公開された何万もの情報漏えいの事例を発見しました。

モバイルデバイスのアクセス許可の過度の使用。 モバイルアプリが効果的に機能するには、多くの場合、モバイルデバイスから特定の機能やデータにアクセスする必要があります。 ただし、一部のアプリは、無謀にまたは密かに、必要以上のアクセスを必要とします。 CyRCによって分析されるモバイルアプリには、平均18のデバイス権限が必要です。 これには平均4.5が含まれます 敏感な 権限、または個人データへのアクセスを最も必要とする権限、およびGoogleが「サードパーティの使用を目的としていない」と分類する平均3つの権限。 ダウンロード数が1万を超える11つのアプリには、Googleが「保護レベル:危険」と分類する5の権限が必要でした。 ダウンロード数が56万を超える別のアプリには、合計31の権限が必要であり、そのうちXNUMXは、Googleが「保護レベル:危険」またはサードパーティのアプリで使用されない署名権限として分類しています。

アプリのカテゴリを比較します。 80のカテゴリのうち18つのアプリの少なくとも36%には、ゲーム、銀行、予算、支払いのアプリなど、既知の脆弱性が含まれていました。 ライフスタイルと健康とフィットネスのカテゴリは、脆弱なアプリの割合が18%と最も低くなっています。 銀行、支払い、予算のカテゴリも、必要なモバイルデバイスのアクセス許可の平均数が最も多い上位XNUMX位にランクされ、全体の平均であるXNUMXをはるかに上回っています。ゲーム、教師向けツール、教育、ライフスタイルアプリでは、必要なアクセス許可の平均数が最も少なくなっています。 。

詳細については、レポートをダウンロードしてください。 パンデミックの危機:モバイルアプリケーションのセキュリティテストの現状.

[1]。 Black Duck Binary Analysisは、Black Duckソフトウェア構成分析オファリングの独自の機能であり、ソフトウェアのセキュリティの脆弱性、情報漏えい、およびモバイルデバイスのアクセス許可を検出するために使用できます。 他のほとんどのソフトウェア分析ツールとは異なり、ソースコードの代わりにコンパイルされたバイナリを分析します。つまり、デスクトップやモバイルアプリケーションから組み込みシステムのファームウェアまで、事実上すべてのソフトウェアをスキャンできます。 詳細については、Black Duck BinaryAnalysisをご覧ください。 ウェビナー.

Synopsys Software Integrity Groupについて  

Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は www.synopsys.com/software.

シノプシスについて  

Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 シノプシスはS&P 500企業として、電子設計自動化(EDA)および半導体IPの世界的リーダーである長い歴史があり、業界で最も幅広いアプリケーションセキュリティテストツールおよびサービスのポートフォリオを提供しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者でも、より安全で高品質のコードを作成するソフトウェア開発者でも、シノプシスは革新的な製品を提供するために必要なソリューションを提供します。 詳細については、 www.synopsys.com.

###