XNUMX월 XNUMX일, XNUMX년에

편집자 요약 : 전염병은 여전히 ​​격노하고 있으며, 세계는 많은 사람들에게 심각한 경제적 타격을 가하는 조치를 계속 수행하고 있지만 사이버 보안 침입과 같은 혜택을 위해 이러한 시련의 시간을 악용하는 사람들도 있습니다. 맬웨어, 랜섬웨어, 피싱 및 기타 사이버 보안 침입이 전 세계적으로 증가하고 있으며 사이버 보안 채택 자와 위협 행위자 간의 네트워크 전투가 격화되고 있습니다. Synopsys 사이버 보안 연구 센터 (CyRC)는 최근 "대유행의 위험 : 모바일 애플리케이션 보안 테스트의 현황"이라는 제목의 연구 보고서를 발표했습니다. 이 보고서는 Synopsys Black Duck Binary Analysis 솔루션을 통해 테스트 된 18 개의 인기 모바일 앱 카테고리에 대한 심각한 우려를 설명했습니다. 공급 업체의 릴리스는 다음과 같습니다.


Synopsys Research, 대유행 중 인기있는 모바일 앱에서 중요한 보안 문제가 밝혀졌습니다.

3,335 개의 인기있는 Android 앱을 분석 한 결과 대부분이 보안 취약성을 포함하고 있음을 보여줍니다.

싱가포르, @mcgallen #microwireinfo, 29 년 2021 월 XNUMX 일 - Synopsys, Inc. (나스닥 : SNPS) 오늘 보고서를 발표했습니다. 전염병의 위험 : 모바일 애플리케이션 보안 테스트 현황. 보고서는 Synopsys 사이버 보안 연구소 (CyRC)는 3,335 년 2021 분기에 Google Play 스토어에서 가장 인기있는 63 개의 Android 모바일 앱에 대한 연구 결과를 조사했습니다. 보고서는 대부분의 앱 (XNUMX %)이 알려진 보안 취약점이있는 오픈 소스 구성 요소를 포함하고 있음을 발견했습니다. 애플리케이션 코드에 노출 된 민감한 데이터와 과도한 모바일 장치 권한의 사용을 포함하여 다른 만연한 보안 문제를 강조했습니다.

Synopsys를 사용하여 수행 된 연구 Black Duck 이진 분석[1], 18 개의 인기 모바일 앱 카테고리에 중점을 두 었으며, 그중 많은 카테고리가 비즈니스, 교육, 건강 및 피트니스를 포함하여 대유행 기간 동안 폭발적인 성장을 보였습니다. Google Play 스토어에서 가장 많이 다운로드되거나 최고 매출을 기록한 앱입니다. 보안 분석 결과는 앱 카테고리에 따라 다르지만 18 개 카테고리 모두의 앱 중 최소 XNUMX/XNUMX이 알려진 보안 취약성을 포함했습니다.

Synopsys Software Integrity Group의 제너럴 매니저 인 Jason Schmitt는“다른 소프트웨어와 마찬가지로 모바일 앱도 소비자와 기업을 위험에 빠뜨릴 수있는 보안 약점과 취약성에 영향을받지 않습니다. “오늘날 모바일 앱 보안은 전염병으로 인해 어린이, 학생 및 직원의 상당 부분을 포함한 많은 사람들이 점점 더 모바일에 의존하는 원격 생활 방식에 적응하도록 강요하는 방식을 고려할 때 특히 중요합니다. 이러한 변화를 배경으로이 보고서는 모바일 앱 생태계가 보안 소프트웨어를 개발하고 유지하기위한 기준을 총체적으로 높이기위한 중요한 필요성을 강조합니다. "

모바일 앱의 오픈 소스 취약성은 만연합니다. 분석 된 3,335 개 앱 중 63 %가 하나 이상의 알려진 보안 취약점이있는 오픈 소스 구성 요소를 포함했습니다. 취약한 앱에는 평균 39 개의 취약성이 포함되었습니다. 전체적으로 CyRC는 3,000 개 이상의 고유 한 취약점을 식별했으며 82,000 회 이상 나타났습니다.

알려진 취약점은 해결 가능한 문제입니다. 이 연구에서 발견 된 취약점의 수는 엄청나지만, 발견 된 취약점의 94 %가 공개적으로 문서화 된 수정 사항을 가지고 있다는 것은 더 놀라운 일입니다. 즉, 보안 패치 또는 더 새롭고 더 안전한 버전의 오픈 소스 구성 요소를 사용할 수 있음을 의미합니다. 또한 탐지 된 취약점의 73 %가 XNUMX 년 전에 처음 공개되었으며, 이는 앱 개발자가 단순히 앱을 빌드하는 데 사용되는 구성 요소의 보안을 고려하지 않고 있음을 나타냅니다.

고위험 취약성에 대한 심층 분석. 보다 철저한 분석에 따르면 취약점의 거의 절반 (43 %)이 CyRC는 적극적으로 악용되었거나 문서화 된 개념 증명 (PoC) 악용과 관련되어 있기 때문에 높은 위험으로 간주됩니다. 취약점의 XNUMX % 미만이 익스플로잇 또는 PoC 익스플로잇과 관련이 있습니다. 사용 가능한 수정 사항이 없습니다. 취약점의 0.64 %는 원격 코드 실행 (RCE) 취약점으로 분류되며 많은 사람들이 가장 심각한 취약점으로 인식하고 있습니다. XNUMX %는 RCE 취약점으로 분류됩니다. 활성 익스플로잇 또는 PoC 익스플로잇과 관련이 있습니다.

정보 유출. 개발자가 의도하지 않게 애플리케이션의 소스 코드 또는 구성 파일에서 민감한 개인 데이터를 노출하는 경우 악의적 인 공격자가 후속 공격을 수행하는 데 사용할 수 있습니다. CyRC는 개인 키와 토큰에서 이메일 및 IP 주소에 이르기까지 잠재적으로 민감한 정보가 노출 된 수만 건의 정보 유출 사례를 발견했습니다.

모바일 장치 권한의 과도한 사용. 모바일 앱이 효과적으로 작동하려면 모바일 장치에서 특정 기능이나 데이터에 액세스해야하는 경우가 많습니다. 그러나 일부 앱은 무모하거나 은밀하게 필요한 것보다 훨씬 더 많은 액세스 권한을 필요로합니다. CyRC에서 분석 한 모바일 앱에는 평균 18 개의 장치 권한이 필요합니다. 여기에는 평균 4.5가 포함됩니다. 민감한 권한 또는 개인 데이터에 가장 많이 액세스해야하는 권한 및 Google이 '제 3 자 사용을 목적으로하지 않음'으로 분류하는 평균 1 개의 권한. 11 백만 건 이상의 다운로드를 기록한 한 앱에는 Google에서 '보호 수준 : 위험'으로 분류하는 5 개의 권한이 필요했습니다. 56 백만 회 이상의 다운로드를 기록한 또 다른 앱에는 총 31 개의 권한이 필요했으며이 중 XNUMX 개는 Google이 '보호 수준 : 위험'또는 타사 앱에서 사용하지 않는 서명 권한으로 분류했습니다.

앱 카테고리 비교. 80 개 카테고리 중 18 개 카테고리의 앱 중 최소 36 %가 게임, 뱅킹, 예산 및 결제 앱을 포함한 알려진 취약점을 포함하고 있습니다. 라이프 스타일과 건강 및 피트니스 카테고리는 취약한 앱 중 가장 낮은 비율 (18 %)을 차지했습니다. 은행, 결제 및 예산 부문도 전체 평균 XNUMX 개보다 훨씬 높은 평균 필요한 모바일 장치 권한 수에서 상위 XNUMX 위에 올랐습니다. 게임, 교사용 도구, 교육 및 라이프 스타일 앱에는 최소 평균 권한 수가 필요했습니다. .

자세히 알아 보려면 보고서를 다운로드하세요. 전염병의 위험 : 모바일 애플리케이션 보안 테스트 현황.

[1]. Black Duck Binary Analysis는 소프트웨어의 보안 취약성, 정보 유출 및 모바일 장치 권한을 탐지하는 데 사용할 수있는 Black Duck 소프트웨어 구성 분석 제품의 고유 한 기능입니다. 대부분의 다른 소프트웨어 분석 도구와 달리 소스 코드 대신 컴파일 된 바이너리를 분석하므로 데스크톱 및 모바일 애플리케이션에서 임베디드 시스템 펌웨어에 이르기까지 거의 모든 소프트웨어를 스캔 할 수 있습니다. 자세히 알아 보려면 Black Duck Binary Analysis를 시청하세요. 웹 세미나.

Synopsys 소프트웨어 무결성 그룹 정보  

Synopsys Software Integrity Group은 개발 팀이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약성과 결함을 신속하게 찾고 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안 및 품질을 최적화 할 수 있도록 지원합니다. 자세한 내용은 www.synopsys.com/software.

Synopsys 정보  

Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 애플리케이션을 개발하는 혁신적인 기업을위한 Silicon to Software ™ 파트너입니다. S & P 500 기업인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 업계에서 가장 광범위한 애플리케이션 보안 테스트 도구 및 서비스 포트폴리오를 제공합니다. 고급 반도체를 만드는 SoC (시스템 온 칩) 설계 자든,보다 안전한 고품질 코드를 작성하는 소프트웨어 개발자 든 Synopsys는 혁신적인 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 www.synopsys.com.

# # #