發佈於

編者按:大流行仍在肆虐,儘管世界繼續採取措施減輕對許多人的嚴重經濟打擊,但也有人會利用這些艱難時期來謀取利益,例如通過網絡安全入侵。 惡意軟件,勒索軟件,網絡釣魚和其他網絡安全入侵正在全球範圍內升級,而網絡安全採用者和威脅行為者之間的網絡之戰日益激烈。 Synopsys網絡安全研究中心(CyRC)最近發布了一份研究報告,標題為“大流行中的危險:移動應用程序安全測試的狀態”。 該報告概述了通過Synopsys Black Duck Binary Analysis解決方案進行測試的18種流行移動應用類別中的嚴重問題。 供應商的版本如下。


Synopsys Research發現大流行期間流行的移動應用程序存在重大安全問題

對3,335個流行的Android應用程序進行的分析顯示,其中大多數包含安全漏洞

新加坡,@mcgallen#microwire資訊,29年2021月XNUMX日 - 新思科技有限公司。 (納斯達克: SNPS)今天發布了該報告, 大流行中的危險:移動應用程序安全性測試的狀態。 該報告由 新思網絡安全研究中心 (CyRC)研究了3,335年第一季度在Google Play商店中對2021種最流行的Android移動應用程序的研究結果。該報告發現,大多數應用程序(63%)包含具有已知安全漏洞的開源組件,並且重點介紹了其他普遍存在的安全問題,包括應用程序代碼中公開的敏感數據以及使用過多的移動設備權限。

該研究是使用Synopsys進行的 黑鴨二進制分析[1]專注於18種流行的移動應用類別,其中許多類別在大流行期間都呈爆炸式增長,包括商業,教育以及健康與健身。 這些應用在Google Play商店中下載次數最多或收入最高的應用中。 安全分析結果隨應用類別的不同而不同,但在所有18個類別中,至少有三分之一的應用包含已知的安全漏洞。

Synopsys軟件完整性集團總經理Jason Schmitt表示:“與其他任何軟件一樣,移動應用程序也無法倖免於可能使消費者和企業面臨風險的安全弱點和漏洞。” “今天,當您考慮大流行如何迫使我們許多人(包括兒童,學生和大部分勞動力)適應日益依賴於移動的遠程生活方式時,移動應用程序的安全性尤其重要。 在這些變化的背景下,本報告強調了對移動應用生態系統的共同需求,以共同提高開發和維護安全軟件的標準。”

移動應用程序中的開源漏洞無處不在。 在分析的3,335個應用程序中,63%包含具有至少一個已知安全漏洞的開源組件。 漏洞應用平均包含39個漏洞。 CyRC總共發現了3,000多個獨特漏洞,並且出現了82,000多次。

已知漏洞是可以解決的問題。 儘管此研究中發現的漏洞數量令人生畏,但令人驚訝的是,檢測到的漏洞中有94%具有公開記錄的修補程序,這意味著有安全補丁或更新的,更安全的開源組件版本可用。 此外,檢測到的漏洞中有73%是在兩年多前首次向公眾披露的,這表明應用程序開發人員根本沒有考慮構建其應用程序所用組件的安全性。

深入分析高風險漏洞。 一項更徹底的分析表明,CyRC認為將近一半(43%)的漏洞屬於高風險,因為這些漏洞已被積極利用或與文獻證明的概念驗證(PoC)利用有關。 僅有不到XNUMX%的漏洞與漏洞利用或PoC漏洞相關 沒有可用的修復程序。 百分之一的漏洞被歸類為遠程代碼執行(RCE)漏洞-許多人認為這是最嚴重的漏洞。 0.64%被歸類為RCE漏洞 與主動漏洞利用或PoC漏洞相關聯。

信息洩漏。 當開發人員無意間在應用程序的源代碼或配置文件中公開敏感或個人數據時,惡意攻擊者可能會使用它來發起後續攻擊。 CyRC發現了數以萬計的信息洩漏實例,其中暴露了潛在的敏感信息,範圍從私鑰和令牌到電子郵件和IP地址。

過度使用移動設備權限。 移動應用程序通常需要從您的移動設備訪問某些功能或數據才能有效運行。 但是,某些應用程序魯re或暗中要求的訪問權限遠遠超出了必要。 CyRC分析的移動應用平均需要18個設備權限。 平均包括4.5 敏感 權限,或要求訪問個人數據最多的權限,以及Google歸類為“不打算供第三方使用”的平均3個權限。 一個下載次數超過一百萬的應用程序需要1個權限,這些權限被Google分類為“保護級別:危險”。 另一個下載次數超過11萬的應用程序總共需要5個權限,其中56個Google分類為“保護級別:危險”或第三方應用程序不使用的簽名權限。

比較應用類別。 在80個類別中的18個類別中,至少有36%的應用程序包含已知漏洞,包括遊戲,銀行,預算和支付應用程序。 生活方式和健康與健身類別在易受攻擊的應用程序中所佔的比例最低,為18%。 銀行,支付和預算類別在移動設備所需的平均許可數最高的類別中也排在前三名,遠高於XNUMX的總體平均總數。遊戲,教師工具,教育和生活方式應用所需的平均許可數最低。 。

要了解更多信息,請下載報告, 大流行中的危險:移動應用程序安全性測試的狀態.

[1]。 Black Duck Binary Analysis是Black Duck軟件成分分析產品的獨特功能,可用於檢測軟件中的安全漏洞,信息洩漏和移動設備權限。 與大多數其他軟件分析工具不同,它可以分析編譯的二進製文件而不是源代碼,這意味著它可以掃描幾乎所有軟件,從台式機和移動應用程序到嵌入式系統固件。 要了解更多信息,請觀看《黑鴨二進制分析》。 網絡研討會.

關於Synopsys軟件完整性小組  

Synopsys軟件完整性小組可幫助開發團隊構建安全,高質量的軟件,在最大程度提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 了解更多 www.synopsys.com/software.

關於新思科技  

Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為S&P 500公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領先地位,擁有悠久的歷史,並提供業界最廣泛的應用程序安全測試工具和服務組合。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫更安全,高質量代碼的軟件開發人員,Synopsys都能提供交付創新產品所需的解決方案。 了解更多 www.synopsys.com.

###