โพสต์

บทสรุปของบรรณาธิการ: การระบาดของโรคยังคงรุนแรงและในขณะที่โลกยังคงดำเนินมาตรการเพื่อลดความรุนแรงทางเศรษฐกิจให้กับคนจำนวนมาก แต่ก็มีบางคนที่จะใช้ประโยชน์จากช่วงเวลาแห่งความพยายามเหล่านี้เพื่อผลประโยชน์ของพวกเขาเช่นการบุกรุกความปลอดภัยทางไซเบอร์ มัลแวร์แรนซัมแวร์ฟิชชิงและการโจมตีด้านความปลอดภัยทางไซเบอร์อื่น ๆ กำลังทวีความรุนแรงขึ้นทั่วโลกในขณะที่การต่อสู้บนเครือข่ายระหว่างผู้ใช้ระบบรักษาความปลอดภัยทางไซเบอร์และผู้คุกคามยังคงลุกลาม ศูนย์วิจัยความปลอดภัยทางไซเบอร์ของ Synopsys (CyRC) เพิ่งเปิดตัวรายงานการวิจัยที่ชื่อว่า“ Peril in a Pandemic: The State of Mobile Application Security Testing” รายงานดังกล่าวได้สรุปข้อกังวลอย่างยิ่งใน 18 หมวดหมู่แอพมือถือยอดนิยมซึ่งทดสอบผ่านโซลูชัน Synopsys Black Duck Binary Analysis รุ่นของผู้จำหน่ายอยู่ด้านล่าง


การวิจัยของ Synopsys เปิดเผยข้อกังวลด้านความปลอดภัยที่สำคัญในแอพมือถือยอดนิยมท่ามกลางการแพร่ระบาด

การวิเคราะห์แอป Android ยอดนิยม 3,335 รายการแสดงให้เห็นว่าส่วนใหญ่มีช่องโหว่ด้านความปลอดภัย

สิงคโปร์, @mcgallen #microwireข้อมูล 29 มีนาคม 2021 - Synopsys, Inc.. (แนสแด็ก: SNPS) เปิดตัวรายงานในวันนี้ อันตรายจากการระบาด: สถานะของการทดสอบความปลอดภัยของแอปพลิเคชันมือถือ. รายงานจัดทำโดย ศูนย์วิจัยความปลอดภัยทางไซเบอร์ของ Synopsys (CyRC) ตรวจสอบผลการศึกษาแอปบนอุปกรณ์เคลื่อนที่ Android ที่ได้รับความนิยมสูงสุด 3,335 รายการบน Google Play Store ในไตรมาสแรกของปี 2021 รายงานพบว่าแอปส่วนใหญ่ (63%) มีส่วนประกอบโอเพนซอร์สที่ทราบช่องโหว่ด้านความปลอดภัยและ เน้นย้ำถึงข้อกังวลด้านความปลอดภัยที่แพร่หลายอื่น ๆ รวมถึงข้อมูลที่ละเอียดอ่อนที่เปิดเผยในรหัสแอปพลิเคชันและการใช้สิทธิ์ของอุปกรณ์มือถือที่มากเกินไป

การวิจัยซึ่งดำเนินการโดยใช้ Synopsys การวิเคราะห์ไบนารีเป็ดดำ[1] มุ่งเน้นไปที่หมวดหมู่แอปบนอุปกรณ์เคลื่อนที่ยอดนิยม 18 หมวดซึ่งส่วนใหญ่ได้เห็นการเติบโตอย่างรวดเร็วในช่วงการแพร่ระบาดของโรครวมถึงธุรกิจการศึกษาและสุขภาพและการออกกำลังกาย แอปติดอันดับที่ดาวน์โหลดมากที่สุดหรือทำรายได้สูงสุดบน Google Play Store แม้ว่าผลการวิเคราะห์ความปลอดภัยจะแตกต่างกันไปตามหมวดหมู่แอป แต่อย่างน้อย 18 ใน XNUMX ของแอปใน XNUMX หมวดหมู่ทั้งหมดมีช่องโหว่ด้านความปลอดภัยที่ทราบ

“ เช่นเดียวกับซอฟต์แวร์อื่น ๆ แอปบนอุปกรณ์เคลื่อนที่ไม่ได้รับการยกเว้นจากจุดอ่อนด้านความปลอดภัยและช่องโหว่ที่อาจทำให้ผู้บริโภคและธุรกิจตกอยู่ในความเสี่ยง” Jason Schmitt ผู้จัดการทั่วไปของ Synopsys Software Integrity Group กล่าว “ ทุกวันนี้การรักษาความปลอดภัยของแอปบนอุปกรณ์เคลื่อนที่มีความสำคัญอย่างยิ่งเมื่อคุณพิจารณาว่าการระบาดของโรคได้บังคับให้พวกเราหลายคนรวมถึงเด็กนักเรียนและพนักงานส่วนใหญ่ต้องปรับตัวให้เข้ากับวิถีชีวิตระยะไกลที่ต้องพึ่งพามือถือมากขึ้น เมื่อเทียบกับฉากหลังของการเปลี่ยนแปลงเหล่านี้รายงานนี้เน้นย้ำถึงความจำเป็นที่สำคัญยิ่งสำหรับระบบนิเวศของแอปบนอุปกรณ์เคลื่อนที่ในการเพิ่มขีดความสามารถในการพัฒนาและบำรุงรักษาซอฟต์แวร์ที่ปลอดภัยร่วมกัน”

ช่องโหว่ของโอเพนซอร์สในแอปบนอุปกรณ์เคลื่อนที่มีแพร่หลาย จากการวิเคราะห์แอป 3,335 รายการพบว่า 63% มีส่วนประกอบโอเพนซอร์สที่มีช่องโหว่ด้านความปลอดภัยที่ทราบอย่างน้อยหนึ่งรายการ แอปที่มีช่องโหว่มีช่องโหว่โดยเฉลี่ย 39 ช่อง โดยรวมแล้ว CyRC ระบุช่องโหว่ที่ไม่ซ้ำกันมากกว่า 3,000 ช่องและปรากฏมากกว่า 82,000 ครั้ง

ช่องโหว่ที่ทราบเป็นปัญหาที่แก้ไขได้ แม้ว่าจำนวนช่องโหว่ที่ค้นพบในงานวิจัยนี้จะน่ากลัว แต่ก็น่าแปลกใจกว่าที่ 94% ของช่องโหว่ที่ตรวจพบมีเอกสารการแก้ไขที่เปิดเผยต่อสาธารณะหมายความว่ามีแพตช์ความปลอดภัยหรือคอมโพเนนต์โอเพนซอร์สเวอร์ชันที่ใหม่กว่าและปลอดภัยกว่าพร้อมใช้งาน นอกจากนี้ 73% ของช่องโหว่ที่ตรวจพบยังเปิดเผยต่อสาธารณะเป็นครั้งแรกเมื่อสองปีก่อนซึ่งบ่งชี้ว่านักพัฒนาแอปไม่ได้คำนึงถึงความปลอดภัยของส่วนประกอบที่ใช้สร้างแอปของตน

การวิเคราะห์เชิงลึกของช่องโหว่ที่มีความเสี่ยงสูง การวิเคราะห์อย่างละเอียดมากขึ้นพบว่าเกือบครึ่งหนึ่ง (43%) ของช่องโหว่ถูกพิจารณาโดย CyRC ว่ามีความเสี่ยงสูงเนื่องจากอาจถูกใช้ประโยชน์อย่างแข็งขันหรือเกี่ยวข้องกับการหาประโยชน์จากการพิสูจน์แนวคิด (PoC) ที่มีการบันทึกไว้ มีช่องโหว่เพียงไม่ถึงห้าเปอร์เซ็นต์ที่เกี่ยวข้องกับการใช้ประโยชน์หรือการหาประโยชน์จาก PoC และ ไม่มีทางแก้ไข ช่องโหว่ร้อยละหนึ่งถูกจัดประเภทเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ซึ่งเป็นช่องโหว่ระดับที่รุนแรงที่สุด 0.64% ถูกจัดว่าเป็นช่องโหว่ RCE และ มีความเกี่ยวข้องกับการใช้ประโยชน์จากการใช้งานหรือการใช้ประโยชน์จาก PoC

ข้อมูลรั่วไหล. เมื่อนักพัฒนาเปิดเผยข้อมูลที่ละเอียดอ่อนหรือข้อมูลส่วนบุคคลในซอร์สโค้ดหรือไฟล์การกำหนดค่าของแอปพลิเคชันโดยไม่ได้ตั้งใจแอปพลิเคชันอาจถูกใช้โดยผู้โจมตีที่ไม่ประสงค์ดีเพื่อติดตั้งการโจมตีในภายหลัง CyRC พบการรั่วไหลของข้อมูลหลายหมื่นรายการซึ่งอาจมีการเปิดเผยข้อมูลที่ละเอียดอ่อนตั้งแต่คีย์ส่วนตัวและโทเค็นไปจนถึงอีเมลและที่อยู่ IP

การใช้สิทธิ์อุปกรณ์เคลื่อนที่มากเกินไป แอพมือถือมักต้องการการเข้าถึงคุณสมบัติหรือข้อมูลบางอย่างจากอุปกรณ์มือถือของคุณเพื่อให้ทำงานได้อย่างมีประสิทธิภาพ อย่างไรก็ตามแอพบางแอพโดยประมาทหรือแอบแฝงต้องการการเข้าถึงมากเกินความจำเป็น แอพมือถือที่วิเคราะห์โดย CyRC ต้องการสิทธิ์อุปกรณ์โดยเฉลี่ย 18 สิทธิ์ ซึ่งรวมถึงค่าเฉลี่ย 4.5 มีความละเอียดอ่อน สิทธิ์หรือสิทธิ์ที่ต้องการการเข้าถึงข้อมูลส่วนบุคคลมากที่สุดและโดยเฉลี่ย 3 สิทธิ์ที่ Google จัดว่า“ ไม่ได้มีไว้สำหรับการใช้งานของบุคคลที่สาม” แอปเดียวที่มีการดาวน์โหลดมากกว่า 1 ล้านครั้งต้องการการอนุญาต 11 รายการซึ่ง Google จัดว่าเป็น“ ระดับการป้องกัน: อันตราย” แอปอื่นที่มีการดาวน์โหลดมากกว่า 5 ล้านครั้งต้องการสิทธิ์ทั้งหมด 56 สิทธิ์โดย 31 รายการ Google จัดประเภทเป็น "ระดับการป้องกัน: อันตราย" หรือเป็นการอนุญาตลายเซ็นที่แอปของบุคคลที่สามห้ามใช้

การเปรียบเทียบหมวดหมู่แอป แอปอย่างน้อย 80% ใน 18 หมวดหมู่ 36 ประเภทมีช่องโหว่ที่เป็นที่รู้จักซึ่งรวมถึงเกมการธนาคารการจัดทำงบประมาณและแอปการชำระเงิน หมวดหมู่ไลฟ์สไตล์และสุขภาพและการออกกำลังกายเชื่อมโยงกับเปอร์เซ็นต์แอปที่มีช่องโหว่ต่ำสุดที่ 18% หมวดหมู่การธนาคารการชำระเงินและการจัดทำงบประมาณยังติดอันดับหนึ่งในสามอันดับแรกสำหรับจำนวนสิทธิ์เฉลี่ยสูงสุดของอุปกรณ์เคลื่อนที่ที่ต้องการซึ่งสูงกว่าค่าเฉลี่ยโดยรวมที่ XNUMX เกมเครื่องมือสำหรับครูการศึกษาและแอปไลฟ์สไตล์ต้องการจำนวนสิทธิ์เฉลี่ยต่ำสุด .

หากต้องการเรียนรู้เพิ่มเติมดาวน์โหลดรายงาน อันตรายจากการระบาด: สถานะของการทดสอบความปลอดภัยของแอปพลิเคชันมือถือ.

[1] Black Duck Binary Analysis เป็นคุณลักษณะเฉพาะของข้อเสนอการวิเคราะห์องค์ประกอบซอฟต์แวร์ Black Duck ที่สามารถใช้เพื่อตรวจหาช่องโหว่ด้านความปลอดภัยการรั่วไหลของข้อมูลและการอนุญาตอุปกรณ์มือถือในซอฟต์แวร์ ไม่เหมือนกับเครื่องมือวิเคราะห์ซอฟต์แวร์อื่น ๆ ส่วนใหญ่จะวิเคราะห์ไบนารีที่คอมไพล์แทนซอร์สโค้ดซึ่งหมายความว่าสามารถสแกนซอฟต์แวร์ได้แทบทุกชนิดตั้งแต่แอปพลิเคชันเดสก์ท็อปและอุปกรณ์เคลื่อนที่ไปจนถึงเฟิร์มแวร์ระบบแบบฝัง หากต้องการเรียนรู้เพิ่มเติมโปรดดู Black Duck Binary Analysis webinar.

เกี่ยวกับ Synopsys Software Integrity Group  

Synopsys Software Integrity Group ช่วยทีมพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยและมีคุณภาพสูงลดความเสี่ยงในขณะที่เพิ่มความเร็วและประสิทธิผลสูงสุด Synopsys ซึ่งเป็นผู้นำที่ได้รับการยอมรับในด้านความปลอดภัยของแอปพลิเคชันนำเสนอการวิเคราะห์แบบคงที่การวิเคราะห์องค์ประกอบซอฟต์แวร์และโซลูชันการวิเคราะห์แบบไดนามิกที่ช่วยให้ทีมสามารถค้นหาและแก้ไขช่องโหว่และข้อบกพร่องในโค้ดที่เป็นกรรมสิทธิ์ส่วนประกอบโอเพนซอร์สและพฤติกรรมของแอปพลิเคชันได้อย่างรวดเร็ว ด้วยการผสมผสานระหว่างเครื่องมือบริการและความเชี่ยวชาญชั้นนำของอุตสาหกรรมมีเพียง Synopsys เท่านั้นที่ช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพความปลอดภัยและคุณภาพใน DevSecOps และตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ เรียนรู้เพิ่มเติมที่ www.synopsys.com/software.

เกี่ยวกับ Synopsys  

Synopsys, Inc. (Nasdaq: SNPS) เป็นหุ้นส่วนของ Silicon to Software ™สำหรับ บริษัท นวัตกรรมที่พัฒนาผลิตภัณฑ์อิเล็กทรอนิกส์และแอพพลิเคชั่นซอฟต์แวร์ที่เราพึ่งพาทุกวัน ในฐานะ บริษัท S&P 500 Synopsys มีประวัติอันยาวนานในการเป็นผู้นำระดับโลกในด้านการออกแบบอัตโนมัติ (EDA) และเซมิคอนดักเตอร์ IP และนำเสนอเครื่องมือและบริการทดสอบความปลอดภัยของแอปพลิเคชันที่กว้างขวางที่สุดในอุตสาหกรรม ไม่ว่าคุณจะเป็นนักออกแบบระบบบนชิป (SoC) ที่สร้างเซมิคอนดักเตอร์ขั้นสูงหรือนักพัฒนาซอฟต์แวร์ที่เขียนโค้ดคุณภาพสูงที่ปลอดภัยยิ่งขึ้น Synopsys มีโซลูชันที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์ที่เป็นนวัตกรรมใหม่ เรียนรู้เพิ่มเติมที่ www.synopsys.com.

# # #