发表于

编者按:大流行仍在蔓延,尽管世界继续采取措施减轻对许多人的严重经济打击,但也有人会利用这些艰难时期来谋取利益,例如通过网络安全入侵。 恶意软件,勒索软件,网络钓鱼和其他网络安全入侵正在全球范围内升级,而网络安全采用者和威胁行为者之间的网络之战日益激烈。 Synopsys网络安全研究中心(CyRC)最近发布了一份研究报告,标题为“大流行中的危险:移动应用程序安全测试的状态”。 该报告概述了通过Synopsys Black Duck Binary Analysis解决方案进行测试的18种流行移动应用类别中的严重问题。 供应商的版本如下。


Synopsys Research发现大流行期间流行的移动应用程序存在重大安全问题

对3,335个流行的Android应用程序进行的分析显示,其中大多数包含安全漏洞

新加坡,@mcgallen#microwire资讯,29年2021月XNUMX日 Synopsys,Inc。 (纳斯达克: SNPS)今天发布了该报告, 大流行中的危险:移动应用程序安全性测试的状态。 该报告由 新思网络安全研究中心 (CyRC)研究了3,335年第一季度在Google Play商店中对2021种最流行的Android移动应用程序的研究结果。该报告发现,大多数应用程序(63%)包含具有已知安全漏洞的开源组件,并且重点介绍了其他普遍存在的安全问题,包括应用程序代码中暴露的敏感数据以及使用过多的移动设备权限。

该研究是使用Synopsys进行的 黑鸭二进制分析[1]专注于18种流行的移动应用类别,其中许多类别在大流行期间都呈爆炸式增长,包括商业,教育,健康与健身。 这些应用在Google Play商店中下载次数最多或收入最高的应用中。 虽然安全分析结果因应用程序类别而异,但在所有18个类别中,至少有三分之一的应用程序包含已知的安全漏洞。

Synopsys软件完整性集团总经理Jason Schmitt表示:“与其他任何软件一样,移动应用程序也无法幸免于可能使消费者和企业面临风险的安全弱点和漏洞。” “今天,当您考虑大流行如何迫使我们许多人(包括儿童,学生和大部分劳动力)适应日益依赖于移动的远程生活方式时,移动应用程序的安全性尤其重要。 在这些变化的背景下,本报告强调了对移动应用生态系统的共同需求,以共同提高开发和维护安全软件的标准。”

移动应用程序中的开源漏洞无处不在。 在分析的3,335个应用程序中,63%包含具有至少一个已知安全漏洞的开源组件。 漏洞应用平均包含39个漏洞。 CyRC总共发现了3,000多个独特漏洞,并且出现了82,000多次。

已知漏洞是可以解决的问题。 尽管此研究中发现的漏洞数量令人生畏,但令人惊讶的是,检测到的漏洞中有94%具有公开记录的修补程序,这意味着有安全补丁或更新的,更安全的开源组件版本可用。 此外,检测到的漏洞中有73%是在两年多前首次向公众披露的,这表明应用程序开发人员根本没有考虑构建其应用程序所用组件的安全性。

深入分析高风险漏洞。 一项更彻底的分析表明,CyRC认为将近一半(43%)的漏洞属于高风险,因为这些漏洞已被积极利用或与文献证明的概念验证(PoC)利用有关。 仅有不到XNUMX%的漏洞与漏洞利用或PoC漏洞相关 没有可用的修复程序。 百分之一的漏洞被归类为远程代码执行(RCE)漏洞-许多人认为这是最严重的漏洞。 0.64%被归类为RCE漏洞 与主动漏洞利用或PoC漏洞相关联。

信息泄漏。 当开发人员无意间在应用程序的源代码或配置文件中公开敏感或个人数据时,恶意攻击者可能会使用它来发起后续攻击。 CyRC发现了数以万计的信息泄漏实例,其中暴露了潜在的敏感信息,范围从私钥和令牌到电子邮件和IP地址。

过度使用移动设备权限。 移动应用程序通常需要从您的移动设备访问某些功能或数据才能有效运行。 但是,某些应用程序鲁re或暗中要求的访问权限超出了必要。 CyRC分析的移动应用平均需要18个设备权限。 平均包括4.5 敏感 权限,或要求访问个人数据最多的权限,以及Google归类为“不打算供第三方使用”的平均3个权限。 一个下载次数超过一百万的应用程序需要1个权限,这些权限被Google分类为“保护级别:危险”。 另一个下载次数超过11万的应用程序总共需要5个权限,其中56个Google分类为“保护级别:危险”或第三方应用程序不使用的签名权限。

比较应用类别。 在80个类别中的18个类别中,至少有36%的应用程序包含已知漏洞,包括游戏,银行,预算和支付应用程序。 生活方式和健康与健身类别在易受攻击的应用程序中所占的比例最低,为18%。 银行,支付和预算类别在移动设备所需的平均许可数最高的类别中也排在前三名,远高于XNUMX的总体平均总数。游戏,教师工具,教育和生活方式应用所需的平均许可数最低。 。

要了解更多信息,请下载报告, 大流行中的危险:移动应用程序安全性测试的状态.

[1]。 Black Duck Binary Analysis是Black Duck软件成分分析产品的独特功能,可用于检测软件中的安全漏洞,信息泄漏和移动设备权限。 与大多数其他软件分析工具不同,它可以分析编译的二进制文件而不是源代码,这意味着它可以扫描几乎任何软件,从台式机和移动应用程序到嵌入式系统固件。 要了解更多信息,请观看《黑鸭二进制分析》。 网络研讨会.

关于Synopsys软件完整性小组  

Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度地提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 www.synopsys.com/software.

关于Synopsys  

Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为标准普尔500强公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领先地位,拥有悠久的历史,并提供业界最广泛的应用程序安全测试工具和服务组合。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写更安全,高质量代码的软件开发人员,Synopsys都能提供交付创新产品所需的解决方案。 了解更多 www.synopsys.com.

###