опубликовано

Краткое содержание редактора: Пандемия все еще бушует, и, хотя мир продолжает принимать меры по смягчению серьезных экономических ударов по многим, есть и те, кто будет использовать эти трудные времена в своих интересах, например, посредством вторжений в кибербезопасность. Вредоносные программы, программы-вымогатели, фишинг и другие вторжения в кибербезопасность обостряются во всем мире, в то время как сетевая битва между сторонниками кибербезопасности и злоумышленниками продолжается. То Synopsys Исследовательский центр кибербезопасности (CyRC) недавно опубликовал исследовательский отчет под названием «Опасность во время пандемии: состояние тестирования безопасности мобильных приложений». В отчете изложены серьезные проблемы в 18 популярных категориях мобильных приложений, протестированных с помощью Synopsys Решение для бинарного анализа Black Duck. Релиз производителя ниже.


Synopsys Исследование выявило серьезные проблемы с безопасностью популярных мобильных приложений в условиях пандемии

Анализ 3,335 популярных приложений для Android показывает, что большинство из них содержат уязвимости.

СИНГАПУР, @mcgallen #microwireinfo, 29 марта 2021 г. SynopsysInc, (Nasdaq: СНПС) сегодня выпустил отчет, Опасность пандемии: состояние тестирования безопасности мобильных приложений. Отчет, подготовленный Synopsys Исследовательский центр кибербезопасности (CyRC) анализирует результаты исследования 3,335 самых популярных мобильных приложений для Android в магазине Google Play в первом квартале 2021 года. В отчете установлено, что большинство приложений (63%) содержат компоненты с открытым исходным кодом с известными уязвимостями безопасности и подчеркнули другие распространенные проблемы безопасности, включая конфиденциальные данные, раскрытые в коде приложения, и использование чрезмерных разрешений для мобильных устройств.

Исследование, которое проводилось с использованием Synopsys Бинарный анализ Black Duck[1], ориентированный на 18 популярных категорий мобильных приложений, многие из которых резко выросли во время пандемии, включая бизнес, образование, здоровье и фитнес. Приложения вошли в число самых скачиваемых и прибыльных в Google Play Store. Хотя результаты анализа безопасности различаются в зависимости от категории приложения, по крайней мере одна треть приложений во всех 18 категориях содержала известные уязвимости безопасности.

«Как и любое другое программное обеспечение, мобильные приложения не застрахованы от недостатков и уязвимостей безопасности, которые могут подвергнуть риску потребителей и бизнес», — сказал Джейсон Шмитт, генеральный менеджер Synopsys Группа целостности программного обеспечения. «Сегодня безопасность мобильных приложений особенно важна, если учесть, как пандемия вынудила многих из нас, включая детей, студентов и большую часть рабочей силы, адаптироваться к удаленному образу жизни, который все больше зависит от мобильных устройств. На фоне этих изменений в этом отчете подчеркивается острая необходимость для экосистемы мобильных приложений коллективно поднимать планку для разработки и обслуживания безопасного программного обеспечения».

Уязвимости с открытым исходным кодом в мобильных приложениях широко распространены. Из 3,335 проанализированных приложений 63% содержали компоненты с открытым исходным кодом, по крайней мере, с одной известной уязвимостью безопасности. Уязвимые приложения содержали в среднем 39 уязвимостей. Всего CyRC выявила более 3,000 уникальных уязвимостей, и они появлялись более 82,000 раз.

Известные уязвимости - это решаемая проблема. Хотя количество уязвимостей, обнаруженных в ходе этого исследования, пугает, возможно, более удивительно то, что 94% обнаруженных уязвимостей имеют публично задокументированные исправления, то есть доступны исправления безопасности или более новые, более безопасные версии компонентов с открытым исходным кодом. Кроме того, 73% обнаруженных уязвимостей были впервые раскрыты общественности более двух лет назад, что указывает на то, что разработчики приложений просто не учитывают безопасность компонентов, используемых для создания своих приложений.

Углубленный анализ уязвимостей высокого риска. Более тщательный анализ показал, что CyRC считает почти половину (43%) уязвимостей высоким риском, потому что они либо активно использовались, либо связаны с документально подтвержденными эксплойтами (PoC). Чуть менее пяти процентов уязвимостей связаны с эксплойтом или эксплойтом PoC. и нет исправления. Один процент уязвимостей классифицируется как уязвимости удаленного выполнения кода (RCE), что многими признается наиболее серьезным классом уязвимостей. 0.64% классифицируются как RCE-уязвимости и связаны с активным эксплойтом или эксплойтом PoC.

Утечка информации. Когда разработчики непреднамеренно раскрывают конфиденциальные или личные данные в исходном коде или файлах конфигурации приложения, они потенциально могут быть использованы злоумышленниками для проведения последующих атак. CyRC обнаружила десятки тысяч случаев утечки информации, когда была раскрыта потенциально конфиденциальная информация, от закрытых ключей и токенов до электронной почты и IP-адресов.

Чрезмерное использование разрешений мобильного устройства. Мобильным приложениям часто требуется доступ к определенным функциям или данным вашего мобильного устройства для эффективной работы. Однако некоторым приложениям необдуманно или тайно требуется гораздо больший доступ, чем необходимо. Мобильные приложения, проанализированные CyRC, требуют в среднем 18 разрешений для устройств. Это включает в среднем 4.5 чувствительный разрешения, или те, которые требуют наибольшего доступа к личным данным, и в среднем 3 разрешения, которые Google классифицирует как «не предназначенные для использования третьими лицами». Для одного приложения с более чем 1 миллионом загрузок требовалось 11 разрешений, которые Google классифицирует как «Уровень защиты: опасно». Другое приложение с более чем 5 миллионами загрузок потребовало в общей сложности 56 разрешений, 31 из которых Google классифицирует как «Уровень защиты: опасный» или как разрешения подписи, которые не должны использоваться сторонними приложениями.

Сравнение категорий приложений. По крайней мере, 80% приложений в шести из 18 категорий содержали известные уязвимости, включая игры, банковское дело, бюджетирование и платежные приложения. На категории «образ жизни» и «здоровье и фитнес» приходится самый низкий процент уязвимых приложений - 36%. Категории банковского дела, платежей и бюджетирования также вошли в тройку лидеров по наивысшему среднему количеству требуемых разрешений для мобильных устройств, что намного выше общего среднего показателя (18). Игры, инструменты для учителей, образовательные программы и приложения для образа жизни требовали самого низкого среднего количества разрешений .

Чтобы узнать больше, скачайте отчет, Опасность пандемии: состояние тестирования безопасности мобильных приложений.

[1]. Двоичный анализ Black Duck - это уникальная функция предложения анализа состава программного обеспечения Black Duck, которую можно использовать для обнаружения уязвимостей безопасности, утечки информации и разрешений мобильных устройств в программном обеспечении. В отличие от большинства других инструментов анализа программного обеспечения, он анализирует скомпилированные двоичные файлы вместо исходного кода, что означает, что он может сканировать практически любое программное обеспечение, от настольных и мобильных приложений до встроенного программного обеспечения системы. Чтобы узнать больше, посмотрите двоичный анализ Black Duck Вебинар.

О Synopsys Группа обеспечения целостности программного обеспечения  

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и высококачественное программное обеспечение, сводя к минимуму риски и максимально повышая скорость и производительность. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и устранять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию ведущих в отрасли инструментов, услуг и опыта, только Synopsys помогает организациям оптимизировать безопасность и качество в DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/программное обеспечение.

О нас Synopsys  

Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Как компания S&P 500, Synopsys уже давно является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой интеллектуальной собственности и предлагает самый широкий в отрасли портфель инструментов и услуг для тестирования безопасности приложений. Являетесь ли вы разработчиком систем на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, пишущим более безопасный и высококачественный код, Synopsys имеет решения, необходимые для создания инновационных продуктов. Узнайте больше на www.synopsys.com.

###