опубликовано

Краткое содержание редактора: пандемия все еще свирепствует, и, хотя мир продолжает принимать меры по смягчению серьезных экономических ударов для многих, есть и такие, кто использовал бы эти тяжелые времена в своих интересах, например, посредством вторжений в кибербезопасность. Вредоносное ПО, программы-вымогатели, фишинг и другие вторжения в кибербезопасность обостряются во всем мире, в то время как сетевая битва между приверженцами кибербезопасности и злоумышленниками продолжается. Исследовательский центр кибербезопасности Synopsys (CyRC) недавно опубликовал исследовательский отчет под названием «Опасность пандемии: состояние тестирования безопасности мобильных приложений». В отчете говорится о серьезных проблемах в 18 популярных категориях мобильных приложений, протестированных с помощью решения Synopsys Black Duck Binary Analysis. Релиз производителя представлен ниже.


Исследование Synopsys выявляет серьезные проблемы с безопасностью популярных мобильных приложений в условиях пандемии

Анализ 3,335 популярных приложений для Android показывает, что большинство из них содержат уязвимости.

СИНГАПУР, @mcgallen #microwireinfo, 29 марта 2021 г. Synopsys, Inc, (Nasdaq: СНПС) сегодня выпустил отчет, Опасность пандемии: состояние тестирования безопасности мобильных приложений. Отчет, подготовленный Центр исследований кибербезопасности Synopsys (CyRC) анализирует результаты исследования 3,335 самых популярных мобильных приложений для Android в магазине Google Play в первом квартале 2021 года. В отчете установлено, что большинство приложений (63%) содержат компоненты с открытым исходным кодом с известными уязвимостями безопасности и подчеркнули другие распространенные проблемы безопасности, включая конфиденциальные данные, раскрытые в коде приложения, и использование чрезмерных разрешений для мобильных устройств.

Исследование, проведенное с использованием Synopsys Бинарный анализ Black Duck[1], ориентированный на 18 популярных категорий мобильных приложений, многие из которых резко выросли во время пандемии, включая бизнес, образование, здоровье и фитнес. Приложения вошли в число самых скачиваемых и прибыльных в Google Play Store. Хотя результаты анализа безопасности различаются в зависимости от категории приложения, по крайней мере одна треть приложений во всех 18 категориях содержала известные уязвимости безопасности.

«Как и любое другое программное обеспечение, мобильные приложения не защищены от недостатков и уязвимостей, которые могут поставить под угрозу потребителей и предприятия», - сказал Джейсон Шмитт, генеральный менеджер Synopsys Software Integrity Group. «Сегодня безопасность мобильных приложений особенно важна, если учесть, как пандемия заставила многих из нас - включая детей, студентов и значительную часть рабочей силы - адаптироваться к все более мобильному и удаленному образу жизни. На фоне этих изменений в этом отчете подчеркивается критическая необходимость для экосистемы мобильных приложений коллективно поднять планку для разработки и поддержки безопасного программного обеспечения ».

Уязвимости с открытым исходным кодом в мобильных приложениях широко распространены. Из 3,335 проанализированных приложений 63% содержали компоненты с открытым исходным кодом, по крайней мере, с одной известной уязвимостью безопасности. Уязвимые приложения содержали в среднем 39 уязвимостей. Всего CyRC выявила более 3,000 уникальных уязвимостей, и они появлялись более 82,000 раз.

Известные уязвимости - это решаемая проблема. Хотя количество уязвимостей, обнаруженных в ходе этого исследования, пугает, возможно, более удивительно то, что 94% обнаруженных уязвимостей имеют публично задокументированные исправления, то есть доступны исправления безопасности или более новые, более безопасные версии компонентов с открытым исходным кодом. Кроме того, 73% обнаруженных уязвимостей были впервые раскрыты общественности более двух лет назад, что указывает на то, что разработчики приложений просто не учитывают безопасность компонентов, используемых для создания своих приложений.

Углубленный анализ уязвимостей высокого риска. Более тщательный анализ показал, что CyRC считает почти половину (43%) уязвимостей высоким риском, потому что они либо активно использовались, либо связаны с документально подтвержденными эксплойтами (PoC). Чуть менее пяти процентов уязвимостей связаны с эксплойтом или эксплойтом PoC. и нет исправления. Один процент уязвимостей классифицируется как уязвимости удаленного выполнения кода (RCE), что многими признается наиболее серьезным классом уязвимостей. 0.64% классифицируются как RCE-уязвимости и связаны с активным эксплойтом или эксплойтом PoC.

Утечка информации. Когда разработчики непреднамеренно раскрывают конфиденциальные или личные данные в исходном коде или файлах конфигурации приложения, они потенциально могут быть использованы злоумышленниками для проведения последующих атак. CyRC обнаружила десятки тысяч случаев утечки информации, когда была раскрыта потенциально конфиденциальная информация, от закрытых ключей и токенов до электронной почты и IP-адресов.

Чрезмерное использование разрешений мобильного устройства. Мобильным приложениям часто требуется доступ к определенным функциям или данным вашего мобильного устройства для эффективной работы. Однако некоторым приложениям необдуманно или тайно требуется гораздо больший доступ, чем необходимо. Мобильные приложения, проанализированные CyRC, требуют в среднем 18 разрешений для устройств. Это включает в среднем 4.5 чувствительный разрешения, или те, которые требуют наибольшего доступа к личным данным, и в среднем 3 разрешения, которые Google классифицирует как «не предназначенные для использования третьими лицами». Для одного приложения с более чем 1 миллионом загрузок требовалось 11 разрешений, которые Google классифицирует как «Уровень защиты: опасно». Другое приложение с более чем 5 миллионами загрузок потребовало в общей сложности 56 разрешений, 31 из которых Google классифицирует как «Уровень защиты: опасный» или как разрешения подписи, которые не должны использоваться сторонними приложениями.

Сравнение категорий приложений. По крайней мере, 80% приложений в шести из 18 категорий содержали известные уязвимости, включая игры, банковское дело, бюджетирование и платежные приложения. На категории «образ жизни» и «здоровье и фитнес» приходится самый низкий процент уязвимых приложений - 36%. Категории банковского дела, платежей и бюджетирования также вошли в тройку лидеров по наивысшему среднему количеству требуемых разрешений для мобильных устройств, что намного выше общего среднего показателя (18). Игры, инструменты для учителей, образовательные программы и приложения для образа жизни требовали самого низкого среднего количества разрешений .

Чтобы узнать больше, скачайте отчет, Опасность пандемии: состояние тестирования безопасности мобильных приложений.

[1]. Двоичный анализ Black Duck - это уникальная функция предложения анализа состава программного обеспечения Black Duck, которую можно использовать для обнаружения уязвимостей безопасности, утечки информации и разрешений мобильных устройств в программном обеспечении. В отличие от большинства других инструментов анализа программного обеспечения, он анализирует скомпилированные двоичные файлы вместо исходного кода, что означает, что он может сканировать практически любое программное обеспечение, от настольных и мобильных приложений до встроенного программного обеспечения системы. Чтобы узнать больше, посмотрите двоичный анализ Black Duck Вебинар.

О группе обеспечения целостности программного обеспечения Synopsys  

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

О компании Synopsys  

Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Как компания S&P 500, Synopsys уже долгое время является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также предлагает самый широкий в отрасли портфель инструментов и услуг для тестирования безопасности приложений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, пишущим более безопасный и высококачественный код, у Synopsys есть решения, необходимые для создания инновационных продуктов. Узнайте больше на www.synopsys.com.

###