Dipos pada

Ringkasan editor: Pandemi masih marak, dan sementara dunia terus melakukan langkah-langkah untuk melembutkan pukulan ekonomi yang serius kepada banyak pihak, ada juga beberapa yang akan memanfaatkan masa-masa sukar ini untuk keuntungan mereka, seperti melalui pencerobohan keselamatan siber. Perisian perisian hasad, ransomware, phishing, dan keselamatan siber lain semakin meningkat di seluruh dunia, sementara pertempuran jaringan antara pengguna keselamatan siber dan pelaku ancaman meletus. The Synopsys Cybersecurity Research Center (CyRC) baru-baru ini mengeluarkan laporan penyelidikan bertajuk "Peril in a Pandemic: The State of Mobile Application Security Testing". Laporan tersebut menggariskan masalah serius dalam 18 kategori aplikasi mudah alih yang popular, diuji melalui penyelesaian Synopsys Black Duck Binary Analysis. Pelepasan vendor ada di bawah.


Penyelidikan Sinopsis Mendedahkan Keprihatinan Keselamatan yang Penting dalam Aplikasi Mudah Alih yang Popular di Tengah Pandemik

Analisis 3,335 aplikasi Android yang popular menunjukkan majoriti mengandungi kelemahan keselamatan

SINGAPURA, @mcgallen #microwireinfo, 29 Mac 2021 - Sinopsis, Inc.. (Nasdaq: SNPS) hari ini mengeluarkan laporan, Bahaya dalam Pandemik: Keadaan Ujian Keselamatan Aplikasi Mudah Alih. Laporan yang dihasilkan oleh Pusat Penyelidikan Keselamatan Siber Sinopsis (CyRC), meneliti hasil kajian dari 3,335 aplikasi mudah alih Android paling popular di Google Play Store pada suku pertama pada tahun 2021. Laporan itu mendapati sebahagian besar aplikasi (63%) mengandungi komponen sumber terbuka dengan kelemahan keselamatan yang diketahui dan menyoroti masalah keselamatan lain yang meluas termasuk data sensitif yang terdedah dalam kod aplikasi dan penggunaan kebenaran peranti mudah alih yang berlebihan.

Penyelidikan yang dilakukan menggunakan Synopsys Analisis Binari Bebek Hitam[1], tertumpu pada 18 kategori aplikasi mudah alih yang popular, banyak di antaranya telah menyaksikan pertumbuhan yang meletup semasa wabak, termasuk perniagaan, pendidikan, dan kesihatan & kecergasan. Aplikasi berada di antara yang paling banyak dimuat turun atau terlaris di Google Play Store. Walaupun hasil analisis keselamatan berbeza-beza mengikut kategori aplikasi, sekurang-kurangnya satu pertiga aplikasi dalam semua 18 kategori mengandungi kelemahan keselamatan yang diketahui.

"Seperti perisian lain, aplikasi mudah alih tidak kebal terhadap kelemahan dan kelemahan keselamatan yang boleh membahayakan pengguna dan perniagaan," kata Jason Schmitt, pengurus besar Kumpulan Integriti Perisian Sinopsis. "Hari ini, keselamatan aplikasi mudah alih sangat penting apabila anda mempertimbangkan bagaimana wabak itu memaksa banyak dari kita - termasuk anak-anak, pelajar, dan sebahagian besar tenaga kerja - untuk menyesuaikan diri dengan gaya hidup terpencil yang semakin bergantung kepada mudah alih. Dengan latar belakang perubahan ini, laporan ini menggarisbawahi keperluan kritikal bagi ekosistem aplikasi mudah alih untuk mengumpulkan kolektif untuk mengembangkan dan mengekalkan perisian yang selamat. "

Kerentanan sumber terbuka dalam aplikasi mudah alih meluas. Dari 3,335 aplikasi yang dianalisis, 63% mengandungi komponen sumber terbuka dengan sekurang-kurangnya satu kelemahan keselamatan yang diketahui. Aplikasi rentan mengandungi rata-rata 39 kelemahan. Secara keseluruhan, CyRC mengenal pasti lebih dari 3,000 kelemahan unik, dan mereka muncul lebih dari 82,000 kali.

Kerentanan yang diketahui adalah masalah yang dapat diselesaikan. Walaupun jumlah kerentanan yang ditemui dalam penyelidikan ini menakutkan, mungkin lebih mengejutkan bahawa 94% kelemahan yang dikesan mempunyai perbaikan yang didokumentasikan secara terbuka, yang bermaksud terdapat patch keselamatan atau versi komponen sumber terbuka yang lebih baru dan lebih selamat. Selanjutnya, 73% kerentanan yang dikesan pertama kali didedahkan kepada umum lebih dari dua tahun yang lalu, yang menunjukkan bahawa pembangun aplikasi tidak mempertimbangkan keselamatan komponen yang digunakan untuk membuat aplikasi mereka.

Analisis mendalam mengenai kerentanan berisiko tinggi. Analisis yang lebih mendalam menunjukkan bahawa hampir separuh (43%) kerentanan dianggap oleh CyRC berisiko tinggi kerana mereka telah dieksploitasi secara aktif atau dikaitkan dengan eksploitasi bukti-bukti (PoC) yang didokumentasikan. Hanya di bawah lima peratus kelemahan berkaitan dengan eksploitasi atau eksploitasi PoC dan tidak ada pembaikan. Satu peratus kelemahan diklasifikasikan sebagai kerentanan pelaksanaan kod jarak jauh (RCE) - yang diakui oleh banyak orang sebagai kelas kerentanan yang paling teruk. 0.64% dikelaskan sebagai kerentanan RCE dan dikaitkan dengan exploit aktif atau PoC exploit.

Kebocoran maklumat. Apabila pembangun secara tidak sengaja mendedahkan data sensitif atau peribadi dalam kod sumber atau fail konfigurasi aplikasi, ia berpotensi digunakan oleh penyerang jahat untuk memasang serangan berikutnya. CyRC menemui puluhan ribu kejadian kebocoran maklumat, di mana maklumat berpotensi sensitif terdedah, mulai dari kunci peribadi dan token hingga alamat e-mel dan IP.

Penggunaan kebenaran peranti mudah alih secara berlebihan. Aplikasi mudah alih sering memerlukan akses ke ciri atau data tertentu dari peranti mudah alih anda untuk berfungsi dengan berkesan. Walau bagaimanapun, beberapa aplikasi secara sembarangan atau diam-diam memerlukan akses yang jauh lebih banyak daripada yang diperlukan. Aplikasi mudah alih yang dianalisis oleh CyRC memerlukan rata-rata 18 kebenaran peranti. Itu merangkumi purata 4.5 sensitif kebenaran, atau yang memerlukan akses paling banyak ke data peribadi, dan rata-rata 3 izin yang diklasifikasikan oleh Google sebagai "tidak dimaksudkan untuk penggunaan pihak ketiga." Satu aplikasi dengan lebih dari 1 juta muat turun memerlukan 11 kebenaran yang diklasifikasikan oleh Google sebagai "Tahap Perlindungan: Berbahaya." Aplikasi lain dengan muat turun lebih dari 5 juta memerlukan sejumlah 56 kebenaran, 31 di antaranya Google mengklasifikasikan sebagai "Tahap Perlindungan: Berbahaya" atau sebagai izin tandatangan yang tidak boleh digunakan oleh aplikasi pihak ketiga.

Membandingkan kategori aplikasi. Sekurang-kurangnya 80% aplikasi dalam enam dari 18 kategori mengandungi kelemahan yang diketahui, termasuk permainan, perbankan, penganggaran, dan aplikasi pembayaran. Kategori gaya hidup dan kesihatan & kecergasan terikat untuk peratusan aplikasi terdedah paling rendah iaitu 36%. Kategori perbankan, pembayaran, dan penganggaran juga berada di peringkat tiga teratas untuk jumlah rata-rata izin peranti mudah alih tertinggi yang diperlukan, jauh di atas rata-rata keseluruhan 18. Permainan, alat untuk guru, pendidikan, dan aplikasi gaya hidup memerlukan jumlah izin rata-rata terendah. .

Untuk mengetahui lebih lanjut, muat turun laporan, Bahaya dalam Pandemik: Keadaan Ujian Keselamatan Aplikasi Mudah Alih.

[1]. Analisis Binari Black Duck adalah ciri unik dari penawaran analisis komposisi perisian Black Duck yang dapat digunakan untuk mengesan kerentanan keselamatan, kebocoran maklumat dan kebenaran peranti mudah alih dalam perisian. Tidak seperti kebanyakan alat analisis perisian lain, ia menganalisis binari yang dikompilasi dan bukannya kod sumber, yang bermaksud dapat mengimbas hampir semua perisian, dari aplikasi desktop dan mudah alih hingga firmware sistem tertanam. Untuk mengetahui lebih lanjut, tonton Analisis Binari Bebek Hitam Webinar.

Mengenai Kumpulan Integriti Perisian Sinopsis  

Synopsys Software Integrity Group membantu pasukan pembangunan membina perisian berkualiti tinggi yang selamat, meminimumkan risiko sambil memaksimumkan kelajuan dan produktiviti. Sinopsis, peneraju keselamatan aplikasi yang diakui, menyediakan analisis statik, analisis komposisi perisian, dan penyelesaian analisis dinamik yang membolehkan pasukan mencari dan memperbaiki kelemahan dan kecacatan dalam kod proprietari, komponen sumber terbuka, dan tingkah laku aplikasi dengan cepat. Dengan gabungan alat, perkhidmatan, dan kepakaran terkemuka di industri, hanya Synopsys yang membantu organisasi mengoptimumkan keselamatan dan kualiti dalam DevSecOps dan sepanjang kitaran hidup pengembangan perisian. Ketahui lebih lanjut di www.synopsys.com/software.

Mengenai Sinopsis  

Synopsys, Inc. (Nasdaq: SNPS) adalah rakan kongsi Silicon to Software ™ untuk syarikat inovatif yang mengembangkan produk elektronik dan aplikasi perisian yang kita andalkan setiap hari. Sebagai syarikat S&P 500, Synopsys mempunyai sejarah panjang sebagai pemimpin global dalam automasi reka bentuk elektronik (EDA) dan IP semikonduktor dan menawarkan portfolio alat dan perkhidmatan pengujian keselamatan aplikasi industri yang paling luas. Sama ada anda pereka sistem-on-chip (SoC) yang mencipta semikonduktor canggih, atau pembangun perisian yang menulis kod berkualiti tinggi yang lebih selamat, Synopsys mempunyai penyelesaian yang diperlukan untuk menyampaikan produk inovatif. Ketahui lebih lanjut di www.synopsys.com.

# # #