Đăng trên

Tóm tắt của người biên tập: Đại dịch vẫn đang hoành hành, và trong khi thế giới tiếp tục thực hiện các biện pháp nhằm giảm nhẹ những đòn kinh tế nghiêm trọng đối với nhiều người, thì cũng có một số người sẽ khai thác những thời điểm cố gắng này vì lợi ích của họ, chẳng hạn như thông qua các cuộc xâm nhập an ninh mạng. Phần mềm độc hại, ransomware, lừa đảo và các cuộc xâm nhập an ninh mạng khác đang leo thang trên toàn thế giới, trong khi cuộc chiến mạng giữa những người chấp nhận an ninh mạng và các tác nhân đe dọa đang diễn ra gay gắt. Trung tâm Nghiên cứu An ninh Mạng Synopsys (CyRC) gần đây đã phát hành một báo cáo nghiên cứu có tiêu đề “Nguy hiểm trong một đại dịch: Trạng thái của thử nghiệm bảo mật ứng dụng di động”. Báo cáo đã chỉ ra những mối quan tâm nghiêm trọng trong 18 danh mục ứng dụng di động phổ biến, được thử nghiệm thông qua giải pháp Phân tích nhị phân Vịt đen Synopsys. Dưới đây là bản phát hành của nhà cung cấp.


Tóm tắt nội dung Nghiên cứu tiết lộ mối quan tâm đáng kể về bảo mật trong các ứng dụng di động phổ biến giữa đại dịch

Phân tích 3,335 ứng dụng Android phổ biến cho thấy phần lớn chứa các lỗ hổng bảo mật

SINGAPORE, @mcgallen #microwirethông tin, ngày 29 tháng 2021 năm XNUMX - XNUMX - Tóm tắt nội dung. (Nasdaq: SNPS) hôm nay đã phát hành báo cáo, Nguy cơ xảy ra đại dịch: Trạng thái thử nghiệm bảo mật ứng dụng dành cho thiết bị di động. Báo cáo do Trung tâm nghiên cứu an ninh mạng Synopsys (CyRC), xem xét kết quả của một nghiên cứu về 3,335 ứng dụng di động Android phổ biến nhất trên Cửa hàng Google Play trong quý đầu tiên vào năm 2021. Báo cáo cho thấy phần lớn ứng dụng (63%) chứa các thành phần nguồn mở với các lỗ hổng bảo mật đã biết và nêu bật các mối lo ngại về bảo mật phổ biến khác bao gồm dữ liệu nhạy cảm bị lộ trong mã ứng dụng và việc sử dụng quá nhiều quyền trên thiết bị di động.

Nghiên cứu được thực hiện bằng cách sử dụng Synopsys Phân tích nhị phân Vịt đen[1], tập trung vào 18 danh mục ứng dụng dành cho thiết bị di động phổ biến, nhiều danh mục trong số đó đã chứng kiến ​​sự phát triển bùng nổ trong thời kỳ đại dịch, bao gồm kinh doanh, giáo dục và sức khỏe & thể dục. Các ứng dụng được xếp hạng trong số những ứng dụng được tải xuống nhiều nhất hoặc có doanh thu cao nhất trên Cửa hàng Google Play. Mặc dù kết quả phân tích bảo mật khác nhau tùy theo danh mục ứng dụng, nhưng ít nhất một phần ba số ứng dụng trong tất cả 18 danh mục chứa các lỗ hổng bảo mật đã biết.

Jason Schmitt, tổng giám đốc của Synopsys Software Integrity Group cho biết: “Giống như bất kỳ phần mềm nào khác, ứng dụng dành cho thiết bị di động không tránh khỏi những điểm yếu và lỗ hổng bảo mật có thể khiến người tiêu dùng và doanh nghiệp gặp rủi ro”. “Ngày nay, bảo mật ứng dụng dành cho thiết bị di động đặc biệt quan trọng khi bạn xem xét cách mà đại dịch đã buộc nhiều người trong chúng ta - bao gồm cả trẻ em, sinh viên và một phần lớn lực lượng lao động - phải thích ứng với lối sống ngày càng phụ thuộc vào thiết bị di động, xa xôi. Trong bối cảnh của những thay đổi này, báo cáo này nhấn mạnh nhu cầu quan trọng đối với hệ sinh thái ứng dụng dành cho thiết bị di động nhằm nâng cao tiêu chuẩn chung cho việc phát triển và duy trì phần mềm an toàn. "

Các lỗ hổng mã nguồn mở trong các ứng dụng dành cho thiết bị di động rất phổ biến. Trong số 3,335 ứng dụng được phân tích, 63% chứa các thành phần mã nguồn mở với ít nhất một lỗ hổng bảo mật đã biết. Các ứng dụng dễ bị tổn thương chứa trung bình 39 lỗ hổng. Tổng cộng, CyRC đã xác định được hơn 3,000 lỗ hổng duy nhất và chúng đã xuất hiện hơn 82,000 lần.

Các lỗ hổng đã biết là một vấn đề có thể giải quyết được. Mặc dù số lượng lỗ hổng được phát hiện trong nghiên cứu này là đáng kinh ngạc, nhưng có lẽ đáng ngạc nhiên hơn là 94% lỗ hổng được phát hiện có các bản sửa lỗi được ghi lại công khai, có nghĩa là có các bản vá bảo mật hoặc các phiên bản mới hơn, an toàn hơn của thành phần nguồn mở. Hơn nữa, 73% lỗ hổng được phát hiện lần đầu tiên được tiết lộ cho công chúng hơn hai năm trước, cho thấy rằng các nhà phát triển ứng dụng chỉ đơn giản là không xem xét tính bảo mật của các thành phần được sử dụng để xây dựng ứng dụng của họ.

Phân tích sâu về các lỗ hổng có nguy cơ cao. Một phân tích kỹ lưỡng hơn cho thấy gần một nửa (43%) lỗ hổng được CyRC coi là có rủi ro cao vì chúng đã được khai thác tích cực hoặc có liên quan đến việc khai thác bằng chứng khái niệm (PoC) được ghi lại. Chỉ dưới năm phần trăm lỗ hổng được liên kết với một khai thác hoặc khai thác PoC không có sẵn bản sửa lỗi. Một phần trăm lỗ hổng được phân loại là lỗ hổng thực thi mã từ xa (RCE) - được nhiều người công nhận là loại lỗ hổng nghiêm trọng nhất. 0.64% được phân loại là lỗ hổng RCE được liên kết với một khai thác đang hoạt động hoặc khai thác PoC.

Rò rỉ thông tin. Khi các nhà phát triển vô tình để lộ dữ liệu nhạy cảm hoặc dữ liệu cá nhân trong mã nguồn hoặc tệp cấu hình của ứng dụng, nó có thể bị những kẻ tấn công độc hại sử dụng để thực hiện các cuộc tấn công tiếp theo. CyRC đã tìm thấy hàng chục nghìn trường hợp rò rỉ thông tin, trong đó thông tin nhạy cảm tiềm ẩn bị lộ, từ khóa cá nhân và mã thông báo đến email và địa chỉ IP.

Sử dụng quá nhiều quyền của thiết bị di động. Ứng dụng dành cho thiết bị di động thường yêu cầu quyền truy cập vào một số tính năng hoặc dữ liệu nhất định từ thiết bị di động của bạn để hoạt động hiệu quả. Tuy nhiên, một số ứng dụng một cách liều lĩnh hoặc lén lút yêu cầu nhiều quyền truy cập hơn mức cần thiết. Các ứng dụng di động được CyRC phân tích yêu cầu trung bình 18 quyền thiết bị. Điều đó bao gồm mức trung bình là 4.5 nhạy cảm quyền hoặc những quyền yêu cầu nhiều quyền truy cập nhất vào dữ liệu cá nhân và trung bình 3 quyền mà Google phân loại là “không dành cho bên thứ ba sử dụng”. Một ứng dụng có hơn 1 triệu lượt tải xuống yêu cầu 11 quyền mà Google phân loại là “Mức độ bảo vệ: Nguy hiểm”. Một ứng dụng khác với hơn 5 triệu lượt tải xuống yêu cầu tổng cộng 56 quyền, 31 quyền trong số đó được Google phân loại là "Mức độ bảo vệ: Nguy hiểm" hoặc là quyền chữ ký không được sử dụng bởi các ứng dụng của bên thứ ba.

So sánh các danh mục ứng dụng. Ít nhất 80% ứng dụng thuộc sáu trong số 18 danh mục chứa các lỗ hổng đã biết, bao gồm trò chơi, ứng dụng ngân hàng, ngân sách và thanh toán. Danh mục lối sống và sức khỏe & thể dục gắn liền với tỷ lệ phần trăm ứng dụng dễ bị tổn thương thấp nhất ở mức 36%. Các danh mục ngân hàng, thanh toán và ngân sách cũng được xếp hạng trong ba danh mục hàng đầu về số lượng quyền thiết bị di động trung bình cao nhất được yêu cầu, cao hơn mức trung bình chung là 18. Trò chơi, công cụ dành cho giáo viên, ứng dụng giáo dục và lối sống yêu cầu số lượng quyền trung bình thấp nhất .

Để tìm hiểu thêm, hãy tải xuống báo cáo, Nguy cơ xảy ra đại dịch: Trạng thái thử nghiệm bảo mật ứng dụng dành cho thiết bị di động.

[1]. Phân tích nhị phân Black Duck là một tính năng độc đáo của cung cấp phân tích thành phần phần mềm Black Duck có thể được sử dụng để phát hiện các lỗ hổng bảo mật, rò rỉ thông tin và quyền thiết bị di động trong phần mềm. Không giống như hầu hết các công cụ phân tích phần mềm khác, nó phân tích các tệp nhị phân đã biên dịch thay vì mã nguồn, có nghĩa là nó có thể quét hầu như bất kỳ phần mềm nào, từ ứng dụng máy tính để bàn và thiết bị di động đến phần sụn hệ thống nhúng. Để tìm hiểu thêm, hãy xem Phân tích nhị phân Vịt đen webinar.

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys  

Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys  

Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là một công ty thuộc S&P 500, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu về tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cung cấp danh mục dịch vụ và công cụ kiểm tra bảo mật ứng dụng rộng nhất trong ngành. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết mã chất lượng cao, an toàn hơn, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo. Tìm hiểu thêm tại www.synopsys.com.

# # #