Poted on

편집자 요약: 팬데믹은 여전히 ​​맹위를 떨치고 있으며 세계는 많은 사람들에게 심각한 경제적 타격을 완화하기 위한 조치를 계속 시행하고 있지만 사이버 보안 침입과 같은 자신의 이익을 위해 이 힘든 시기를 악용하는 사람들도 있습니다. 맬웨어, 랜섬웨어, 피싱 및 기타 사이버 보안 침입이 전 세계적으로 확대되고 있으며 사이버 보안 채택자와 위협 행위자 간의 네트워크 전투가 격렬합니다. 그만큼 Synopsys Cybersecurity Research Center(CyRC)는 최근 "Peril in a Pandemic: State of Mobile Application Security Testing"이라는 연구 보고서를 발표했습니다. 보고서는 18개의 인기 있는 모바일 앱 카테고리에서 심각한 우려 사항을 설명했으며, Synopsys Black Duck 바이너리 분석 솔루션. 벤더의 릴리스는 다음과 같습니다.


Synopsys 연구 결과 팬데믹 속에서 인기 있는 모바일 앱의 심각한 보안 문제 밝혀

3,335 개의 인기있는 Android 앱을 분석 한 결과 대부분이 보안 취약성을 포함하고 있음을 보여줍니다.

싱가포르, @mcgallen #microwireinfo, 29 년 2021 월 XNUMX 일 - Synopsys, Inc의. (나스닥 : SNPS) 오늘 보고서를 발표했습니다. 전염병의 위험 : 모바일 애플리케이션 보안 테스트 현황. 보고서는 Synopsys 사이버 보안 연구소 (CyRC)는 3,335 년 2021 분기에 Google Play 스토어에서 가장 인기있는 63 개의 Android 모바일 앱에 대한 연구 결과를 조사했습니다. 보고서는 대부분의 앱 (XNUMX %)이 알려진 보안 취약점이있는 오픈 소스 구성 요소를 포함하고 있음을 발견했습니다. 애플리케이션 코드에 노출 된 민감한 데이터와 과도한 모바일 장치 권한의 사용을 포함하여 다른 만연한 보안 문제를 강조했습니다.

를 사용하여 수행된 연구 Synopsys Black Duck 이진 분석[1], 18 개의 인기 모바일 앱 카테고리에 중점을 두 었으며, 그중 많은 카테고리가 비즈니스, 교육, 건강 및 피트니스를 포함하여 대유행 기간 동안 폭발적인 성장을 보였습니다. Google Play 스토어에서 가장 많이 다운로드되거나 최고 매출을 기록한 앱입니다. 보안 분석 결과는 앱 카테고리에 따라 다르지만 18 개 카테고리 모두의 앱 중 최소 XNUMX/XNUMX이 알려진 보안 취약성을 포함했습니다.

제이슨 슈미트(Jason Schmitt) 제너럴 매니저는 "다른 소프트웨어와 마찬가지로 모바일 앱도 소비자와 기업을 위험에 빠뜨릴 수 있는 보안 취약점과 취약성에 영향을 받지 않는다"고 말했다. Synopsys 소프트웨어 무결성 그룹. “오늘날, 전염병으로 인해 어린이, 학생 및 많은 인력을 포함한 많은 사람들이 점점 더 모바일에 의존하고 원격 생활 방식에 적응하게 된 방법을 고려할 때 모바일 앱 보안이 특히 중요합니다. 이러한 변화를 배경으로 이 보고서는 모바일 앱 생태계가 보안 소프트웨어를 개발하고 유지 관리하기 위한 기준을 집합적으로 높여야 할 중요한 필요성을 강조합니다.”

모바일 앱의 오픈 소스 취약성은 만연합니다. 분석 된 3,335 개 앱 중 63 %가 하나 이상의 알려진 보안 취약점이있는 오픈 소스 구성 요소를 포함했습니다. 취약한 앱에는 평균 39 개의 취약성이 포함되었습니다. 전체적으로 CyRC는 3,000 개 이상의 고유 한 취약점을 식별했으며 82,000 회 이상 나타났습니다.

알려진 취약점은 해결 가능한 문제입니다. 이 연구에서 발견 된 취약점의 수는 엄청나지만, 발견 된 취약점의 94 %가 공개적으로 문서화 된 수정 사항을 가지고 있다는 것은 더 놀라운 일입니다. 즉, 보안 패치 또는 더 새롭고 더 안전한 버전의 오픈 소스 구성 요소를 사용할 수 있음을 의미합니다. 또한 탐지 된 취약점의 73 %가 XNUMX 년 전에 처음 공개되었으며, 이는 앱 개발자가 단순히 앱을 빌드하는 데 사용되는 구성 요소의 보안을 고려하지 않고 있음을 나타냅니다.

고위험 취약성에 대한 심층 분석. 보다 철저한 분석에 따르면 취약점의 거의 절반 (43 %)이 CyRC는 적극적으로 악용되었거나 문서화 된 개념 증명 (PoC) 악용과 관련되어 있기 때문에 높은 위험으로 간주됩니다. 취약점의 XNUMX % 미만이 익스플로잇 또는 PoC 익스플로잇과 관련이 있습니다. 사용 가능한 수정 사항이 없습니다. 취약점의 0.64 %는 원격 코드 실행 (RCE) 취약점으로 분류되며 많은 사람들이 가장 심각한 취약점으로 인식하고 있습니다. XNUMX %는 RCE 취약점으로 분류됩니다. 활성 익스플로잇 또는 PoC 익스플로잇과 관련이 있습니다.

정보 유출. 개발자가 의도하지 않게 애플리케이션의 소스 코드 또는 구성 파일에서 민감한 개인 데이터를 노출하는 경우 악의적 인 공격자가 후속 공격을 수행하는 데 사용할 수 있습니다. CyRC는 개인 키와 토큰에서 이메일 및 IP 주소에 이르기까지 잠재적으로 민감한 정보가 노출 된 수만 건의 정보 유출 사례를 발견했습니다.

모바일 장치 권한의 과도한 사용. 모바일 앱이 효과적으로 작동하려면 모바일 장치에서 특정 기능이나 데이터에 액세스해야하는 경우가 많습니다. 그러나 일부 앱은 무모하거나 은밀하게 필요한 것보다 훨씬 더 많은 액세스 권한을 필요로합니다. CyRC에서 분석 한 모바일 앱에는 평균 18 개의 장치 권한이 필요합니다. 여기에는 평균 4.5가 포함됩니다. 민감한 권한 또는 개인 데이터에 가장 많이 액세스해야하는 권한 및 Google이 '제 3 자 사용을 목적으로하지 않음'으로 분류하는 평균 1 개의 권한. 11 백만 건 이상의 다운로드를 기록한 한 앱에는 Google에서 '보호 수준 : 위험'으로 분류하는 5 개의 권한이 필요했습니다. 56 백만 회 이상의 다운로드를 기록한 또 다른 앱에는 총 31 개의 권한이 필요했으며이 중 XNUMX 개는 Google이 '보호 수준 : 위험'또는 타사 앱에서 사용하지 않는 서명 권한으로 분류했습니다.

앱 카테고리 비교. 80 개 카테고리 중 18 개 카테고리의 앱 중 최소 36 %가 게임, 뱅킹, 예산 및 결제 앱을 포함한 알려진 취약점을 포함하고 있습니다. 라이프 스타일과 건강 및 피트니스 카테고리는 취약한 앱 중 가장 낮은 비율 (18 %)을 차지했습니다. 은행, 결제 및 예산 부문도 전체 평균 XNUMX 개보다 훨씬 높은 평균 필요한 모바일 장치 권한 수에서 상위 XNUMX 위에 올랐습니다. 게임, 교사용 도구, 교육 및 라이프 스타일 앱에는 최소 평균 권한 수가 필요했습니다. .

자세히 알아 보려면 보고서를 다운로드하세요. 전염병의 위험 : 모바일 애플리케이션 보안 테스트 현황.

[1]. Black Duck Binary Analysis는 소프트웨어의 보안 취약성, 정보 유출 및 모바일 장치 권한을 탐지하는 데 사용할 수있는 Black Duck 소프트웨어 구성 분석 제품의 고유 한 기능입니다. 대부분의 다른 소프트웨어 분석 도구와 달리 소스 코드 대신 컴파일 된 바이너리를 분석하므로 데스크톱 및 모바일 애플리케이션에서 임베디드 시스템 펌웨어에 이르기까지 거의 모든 소프트웨어를 스캔 할 수 있습니다. 자세히 알아 보려면 Black Duck Binary Analysis를 시청하세요. 웹 세미나.

정보 Synopsys 소프트웨어 무결성 그룹  

Synopsys Software Integrity Group은 개발 팀이 속도와 생산성을 최대화하면서 위험을 최소화하는 안전한 고품질 소프트웨어를 구축할 수 있도록 지원합니다. Synopsys애플리케이션 보안 분야에서 인정받는 리더로서 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약점과 결함을 신속하게 찾고 수정할 수 있도록 합니다. 업계 최고의 도구, 서비스 및 전문 지식의 조합을 통해 오직 Synopsys 조직이 DevSecOps 및 소프트웨어 개발 수명 주기 전반에 걸쳐 보안 및 품질을 최적화할 수 있도록 지원합니다. 자세히 알아보기 WWW.synopsys.com/software.

소개 Synopsys  

Synopsys, Inc.(Nasdaq: SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 애플리케이션을 개발하는 혁신적인 기업을 위한 Silicon to Software™ 파트너입니다. S&P 500 기업으로서, Synopsys 전자 설계 자동화(EDA) 및 반도체 IP 분야의 글로벌 리더로서의 오랜 역사를 가지고 있으며 업계에서 가장 광범위한 애플리케이션 보안 테스트 도구 및 서비스 포트폴리오를 제공합니다. 고급 반도체를 만드는 SoC(System-on-Chip) 설계자이든, 보다 안전한 고품질 코드를 작성하는 소프트웨어 개발자이든, Synopsys 혁신적인 제품을 제공하는 데 필요한 솔루션을 보유하고 있습니다. 자세히 알아보기 WWW.synopsys.COM.

# # #