Naka-post sa

Maikling ng editor: Ang pandemya ay nagngangalit pa rin, at habang ang mundo ay patuloy na nagsasagawa ng mga hakbangin upang mapahina ang matinding paghampas sa ekonomiya sa marami, mayroon ding ilang magsasamantala sa mga pagsubok na oras na ito para sa kanilang mga benepisyo, tulad ng sa pamamagitan ng mga panghihimasok sa cybersecurity. Ang malware, ransomware, phishing, at iba pang mga pagsalakay sa cybersecurity ay lumalaki sa buong mundo, habang ang labanan sa network sa pagitan ng mga gumagamit ng cybersecurity at mga aktor ng banta ay nagngangalit. Inilabas kamakailan ng Synopsys Cybersecurity Research Center (CyRC) ang isang ulat sa pananaliksik na pinamagatang "Peril in a Pandemic: The State of Mobile Application Security Testing". Inilahad ng ulat ang malubhang alalahanin sa 18 tanyag na mga kategorya ng mobile app, na sinubukan sa pamamagitan ng solusyon sa Synopsys Black Duck Binary Analysis. Nasa ibaba ang paglabas ng vendor.


Ang Pagsasaliksik sa Synopsys ay Nagpapakita ng Mahahalagang Alalahanin sa Seguridad sa Mga Patok na Mobile Apps Sa gitna ng Pandemya

Ang pagtatasa ng 3,335 tanyag na mga Android app ay nagpapakita na ang karamihan ay naglalaman ng mga kahinaan sa seguridad

SINGAPORE, @mcgallen #microwireimpormasyon, Marso 29, 2021 - Mga Synopsys, Inc. (Nasdaq: SNPS) ngayong araw ay inilabas ang ulat, Peril sa isang Pandemik: Ang Estado ng Mobile Application Security Testing. Ang ulat, na ginawa ng Synopsys Cybersecurity Research Center (CyRC), sinusuri ang mga resulta ng isang pag-aaral ng 3,335 pinakatanyag na Android mobile apps sa Google Play Store sa unang isang-kapat noong 2021. Natagpuan sa ulat na ang karamihan ng mga app (63%) ay naglalaman ng mga bukas na sangkap ng mapagkukunan na may mga kilalang kahinaan sa seguridad at na-highlight ang iba pang malaganap na mga alalahanin sa seguridad kabilang ang sensitibong data na nakalantad sa application code at ang paggamit ng labis na mga pahintulot sa mobile device.

Ang pananaliksik, na isinagawa gamit ang Synopsys Pagsusuri sa Binary na Itim na Itik[1], nakatuon sa 18 tanyag na mga kategorya ng mobile app, na marami sa mga ito ay nakakita ng paputok na paglago sa panahon ng pandemya, kabilang ang negosyo, edukasyon, at kalusugan at fitness. Ang mga app na niraranggo kasama ng pinakahuling na-download o nangungunang pagkuha sa Google Play Store. Habang ang mga resulta sa pagtatasa ng seguridad ay nag-iiba ayon sa kategorya ng app, hindi bababa sa isang-katlo ng mga app sa lahat ng 18 mga kategorya na naglalaman ng mga kilalang kahinaan sa seguridad.

"Tulad ng anumang iba pang software, ang mga mobile app ay hindi maiiwasan sa mga kahinaan at kahinaan sa seguridad na maaaring ilagay sa peligro ang mga mamimili at negosyo," sabi ni Jason Schmitt, pangkalahatang tagapamahala ng Synopsys Software Integrity Group. "Ngayon, ang seguridad ng mobile app ay lalong mahalaga kapag isinasaalang-alang mo kung paano pinilit ng pandemiya ang marami sa atin - kabilang ang mga bata, mag-aaral, at malalaking bahagi ng lakas-paggawa - upang umangkop sa lalong umaasa na mobile, mga malayong pamumuhay. Laban sa backdrop ng mga pagbabagong ito, binibigyang diin ng ulat na ito ang kritikal na pangangailangan para sa ecosystem ng mobile app na sama-sama na itaas ang bar para sa pagbuo at pagpapanatili ng ligtas na software. "

Malawak ang mga kahinaan sa bukas na mapagkukunan sa mga mobile app. Sa 3,335 apps na nasuri, 63% ang naglalaman ng mga bukas na sangkap ng mapagkukunan na may kahit isang kilalang kahinaan sa seguridad. Naglalaman ang mga nasisirang apps ng average na 39 na kahinaan. Sa kabuuan, nakilala ng CyRC ang higit sa 3,000 natatanging mga kahinaan, at lumitaw sila nang higit sa 82,000 beses.

Ang mga kilalang kahinaan ay isang malulutas na problema. Habang ang bilang ng mga kahinaan na natuklasan sa pananaliksik na ito ay nakakatakot, marahil ay mas nakakagulat na ang 94% ng mga kahinaan na natukoy ay naitala sa publiko ang mga pag-aayos, nangangahulugang mayroong mga security patch o mas bago, mas ligtas na mga bersyon ng magagamit na bukas na sangkap ng mapagkukunan. Bukod dito, 73% ng mga nakita na kahinaan ay unang nailahad sa publiko higit sa dalawang taon na ang nakalilipas, na nagpapahiwatig na ang mga tagabuo ng app ay hindi lamang isinasaalang-alang ang seguridad ng mga sangkap na ginamit upang mabuo ang kanilang mga app.

Malalim na pagsusuri ng mga kahinaan sa mataas na peligro. Ang isang mas masusing pagsusuri ay nagsiwalat na halos kalahati (43%) ng mga kahinaan ay isinasaalang-alang ng CyRC na may mataas na peligro sapagkat sila ay aktibong pinagsamantalahan o nauugnay sa dokumentadong proof-of-concept (PoC) na pagsasamantala. Sa ilalim lamang ng limang porsyento ng mga kahinaan ay nauugnay sa isang pagsasamantala o pagsasamantala sa PoC at walang pag-aayos na magagamit. Ang isang porsyento ng mga kahinaan ay inuri bilang mga kahinaan sa remote code pagpapatupad (RCE) - na kinikilala ng marami bilang ang pinaka matinding klase ng kahinaan. Ang 0.64% ay inuri bilang mga kahinaan sa RCE at ay naiugnay sa isang aktibong pagsasamantala o pagsasamantala sa PoC.

Tagas ng impormasyon. Kapag hindi sinasadyang inilantad ng mga developer ang sensitibo o personal na data sa source code o mga file ng pagsasaayos ng isang application, maaari itong magamit ng mga nakakahamak na umaatake upang mai-mount ang mga kasunod na pag-atake. Natagpuan ng CyRC ang libu-libong mga pagkakataon ng pagtagas ng impormasyon, kung saan nakalantad ang potensyal na sensitibong impormasyon, mula sa mga pribadong key at token hanggang sa mga email at IP address.

Labis na paggamit ng mga pahintulot sa mobile device. Ang mga mobile app ay madalas na nangangailangan ng pag-access sa ilang mga tampok o data mula sa iyong mobile device upang gumana nang epektibo. Gayunpaman, ang ilang mga app na walang ingat o surreptitious na nangangailangan ng higit na pag-access kaysa kinakailangan. Ang mga mobile app na sinuri ng CyRC ay nangangailangan ng isang average ng 18 mga pahintulot sa aparato. Kasama rito ang average na 4.5 maramdamin mga pahintulot, o mga nangangailangan ng pinakamaraming pag-access sa personal na data, at isang average ng 3 mga pahintulot na inuri ng Google bilang "hindi inilaan para sa paggamit ng third-party." Ang isang app na may higit sa 1 milyong mga pag-download ay nangangailangan ng 11 mga pahintulot na inuri ng Google bilang "Antas ng Proteksyon: Mapanganib." Ang isa pang app na may higit sa 5 milyong mga pag-download ay nangangailangan ng isang kabuuang 56 mga pahintulot, 31 na kung saan inuri ng Google bilang "Antas ng Proteksyon: Mapanganib" o bilang mga pahintulot sa lagda na hindi magagamit ng mga third-party na app.

Paghahambing sa mga kategorya ng app. Hindi bababa sa 80% ng mga app sa anim sa 18 kategorya na naglalaman ng mga kilalang kahinaan, kabilang ang mga laro, pagbabangko, pagbabadyet, at mga app ng pagbabayad. Ang mga kategorya ng lifestyle at kalusugan at fitness ay nakatali sa pinakamababang porsyento ng mga mahihinang apps sa 36%. Ang mga kategorya sa pagbabangko, pagbabayad, at pagbabadyet ay niranggo din sa nangungunang tatlong para sa pinakamataas na average na bilang ng mga pahintulot sa mobile device na kinakailangan, higit sa pangkalahatang average ng 18. Ang mga laro, tool para sa guro, edukasyon, at lifestyle apps ay nangangailangan ng pinakamababang average na bilang ng mga pahintulot .

Upang matuto nang higit pa, i-download ang ulat, Peril sa isang Pandemik: Ang Estado ng Mobile Application Security Testing.

[1]. Ang Black Duck Binary Analysis ay isang natatanging tampok ng pag-aalok ng pagtatasa ng komposisyon ng Black Duck software na maaaring magamit upang matukoy ang mga kahinaan sa seguridad, pagtagas ng impormasyon at mga pahintulot sa mobile device sa software. Hindi tulad ng karamihan sa iba pang mga tool sa pag-aaral ng software, pinag-aaralan nito ang mga pinagsamang binary sa halip na source code, nangangahulugang maaari itong i-scan ang halos anumang software, mula sa desktop at mga mobile application hanggang sa naka-embed na firmware ng system. Upang matuto nang higit pa, panoorin ang Black Duck Binary Analysis webinar.

Tungkol sa Synopsys Software Integrity Group  

Tinutulungan ng Synopsys Software Integrity Group ang mga koponan sa pag-unlad na bumuo ng ligtas, de-kalidad na software, pinapaliit ang mga panganib habang pinapalaki ang bilis at pagiging produktibo. Ang Synopsys, isang kinikilalang pinuno sa seguridad ng aplikasyon, ay nagbibigay ng static na pagtatasa, pagtatasa ng komposisyon ng software, at mga solusyon sa pag-aaral ng pag-analisa na nagbibigay-daan sa mga koponan na mabilis na mahanap at ayusin ang mga kahinaan at depekto sa pagmamay-ari na code, mga buksan ng sangkap ng mapagkukunan, at ugali ng aplikasyon. Sa isang kumbinasyon ng mga tool, serbisyo, at kadalubhasaan na nangunguna sa industriya, ang mga Synopsy lamang ang tumutulong sa mga samahan na i-optimize ang seguridad at kalidad sa DevSecOps at sa buong ikot ng buhay sa pag-unlad ng software. Dagdagan ang nalalaman sa www.synopsys.com/software.

Tungkol sa Synopsys  

Ang Synopsys, Inc. (Nasdaq: SNPS) ay kasosyo ng Silicon to Software ™ para sa mga makabagong kumpanya na bumubuo ng mga elektronikong produkto at software application na umaasa sa araw-araw. Bilang isang kumpanya ng S&P 500, ang Synopsys ay may mahabang kasaysayan ng pagiging isang pandaigdigang nangunguna sa electronic design automation (EDA) at semiconductor IP at nag-aalok ng pinakamalawak na portfolio ng industriya ng mga tool sa pagsubok ng seguridad ng aplikasyon. Kung ikaw man ay isang taga-disenyo ng system-on-chip (SoC) na lumilikha ng mga advanced na semiconductor, o isang developer ng software na nagsusulat ng mas ligtas, de-kalidad na code, ang Synopsys ay may mga solusyon na kinakailangan upang maihatid ang mga makabagong produkto. Dagdagan ang nalalaman sa www.synopsys.com.

# # #