Около 20 процентов самых популярных приложений для Android, доступных через Google Play Store, содержат компоненты с открытым исходным кодом с известными уязвимостями безопасности, которые могут быть использованы хакерами, согласно отчету Insignary, выпущенному на прошлой неделе.
Полученные результаты являются результатом недавней большой проверки открытого кода из 700 самых популярных приложений для Android в Google Play Store. Insignary - это система обеспечения безопасности на соответствие требованиям программного обеспечения с открытым исходным кодом.
Использовалась технология бинарного сканирования на основе отпечатков пальцев Insignary Clarity для анализа файлов пакета Android Pack Kit (APK) на известные уязвимости безопасности в открытом исходном коде и нашли их в каждом пятом приложений для Android. Некоторые из уязвимостей были серьезными.
«С сегодняшней моделью разработки программного обеспечения в разработках практически невозможно узнать, какие компоненты с открытым исходным кодом находятся в программном обеспечении. Наш инструмент первым может каталогизировать все компоненты с открытым исходным кодом в двоичном формате - потребители программного обеспечения получают и сообщают какие компоненты содержат известные уязвимости в безопасности », - сказал Тэ-Цзинь Кан, генеральный директор компании Insignary.
Средство бинарного сканирования компании также работает на корпоративном программном обеспечении, но большая библиотека приложений с открытым исходным кодом для Android предоставила большую возможность продемонстрировать количество известных уязвимостей безопасности, которые скрываются на сегодняшний день в коде, сказал он.
«Наша цель - не просто осветить проблемы. Мы хотели видеть, насколько распространены эти проблемы», - сказал Канг LinuxInsider.
![[web-zones.ru]-73YjguR__400x400.jpg](https://web-zones.ru/attachments/web-zones-ru-73yjgur__400x400-jpg.8328/ "[web-zones.ru]-73YjguR__400x400.jpg")
Тревожные выводы
20% сканированных приложений для Android имели компоненты с открытым исходным кодом, которые, как известно содержат уязвимости в системе безопасности.
Учитывая, что потребители и предприятия полагаются сильно на свои смартфоны, результаты удивили исследователей, сказал Кан. Отсутствие самых простых мер предосторожности не очень хорошо говорит о разработчиках приложений для Android.
«Безопасность программного обеспечения и конфиденциальность данных становятся все более подверженными риску из-за уязвимостей при разработке и приобретении программного обеспечения, а так же от растущей сложности методов хакеров», - отметил Стив Поциас, президент Американского института потребительского рынка.
Результаты исследования указывают на опасения, присущие слабо проверенным приложениям с открытым исходным кодом для Android, сказал он, добавив, что предварительная идентификация скрытых уязвимостей Insignary является ключевым шагом для устранения этих проблем и защиты информации потребителей.
Как минимум, разработчикам необходимо устанавливать обновленные версии программного обеспечения без известных уязвимостей в безопасности, сказал Kans Insignary.
Ключевые моменты
Исследовательская группа Insignary провела проверку файлов APK в течение первой недели апреля. Команда выбрала 20 самых популярных приложений в каждой из 35 категорий приложений Android, включая игры, производительность, социальную сферу, развлечения и образование.
Существовали значительные недостатки в программировании кода в приложениях, предлагаемых в магазине Google Play ведущими поставщиками программного обеспечения, найденными бинарными сканированием. Из 700 просканированных файлов APK, 136 содержат уязвимости в безопасности.
Отчет проверенных файлов:
Серьезная проблема
Не многие инструменты могут искать в двоичном коде уязвимости. Большинство существующих инструментов ищут шаблоны кода, которые уже являются хорошо известными проблемами в безопасности.
«Инструменты анализаторы статического кода не могут обнаружить проблемы, которые мы еще не обнаружили, - отметил Канг.
Большинство компаний используют такие инструменты для поиска проблем с проприетарным кодом. Он отметил, что их проприетарные программы добавляются поверх компонентов с открытым исходным кодом.
«Разработчики программного обеспечения в значительной степени полагают, что открытый исходный код, который они используют, безопасен, потому что он используется многими людьми в течение многих лет», - сказал Канг. «Мы обнаружили, что они содержать менее 10% уязвимостей, которые уже известны».
Безопасность
Пользователи Android могут посетить бесплатный
Insignary не тестировал уязвимости APK на других сайтах, которые распространяют программное обеспечения для Android. Другие магазины могут представлять еще больший риск с вредоносным кодом.
«Во всяком случае, многие - если не все магазины проходят меньше процедур безопасности, чем Play Store - поэтому для пользователей Android особенно важно следить за загрузкой приложений из этого источника».
Бдительность в отношении обновлений систем, приложений и патчей - это то, что можно сделать, добавил Кинг, а сторонние приложения могут помочь в управлении процессом.
Полученные результаты являются результатом недавней большой проверки открытого кода из 700 самых популярных приложений для Android в Google Play Store. Insignary - это система обеспечения безопасности на соответствие требованиям программного обеспечения с открытым исходным кодом.
Использовалась технология бинарного сканирования на основе отпечатков пальцев Insignary Clarity для анализа файлов пакета Android Pack Kit (APK) на известные уязвимости безопасности в открытом исходном коде и нашли их в каждом пятом приложений для Android. Некоторые из уязвимостей были серьезными.
«С сегодняшней моделью разработки программного обеспечения в разработках практически невозможно узнать, какие компоненты с открытым исходным кодом находятся в программном обеспечении. Наш инструмент первым может каталогизировать все компоненты с открытым исходным кодом в двоичном формате - потребители программного обеспечения получают и сообщают какие компоненты содержат известные уязвимости в безопасности », - сказал Тэ-Цзинь Кан, генеральный директор компании Insignary.
Средство бинарного сканирования компании также работает на корпоративном программном обеспечении, но большая библиотека приложений с открытым исходным кодом для Android предоставила большую возможность продемонстрировать количество известных уязвимостей безопасности, которые скрываются на сегодняшний день в коде, сказал он.
«Наша цель - не просто осветить проблемы. Мы хотели видеть, насколько распространены эти проблемы», - сказал Канг LinuxInsider.
20% сканированных приложений для Android имели компоненты с открытым исходным кодом, которые, как известно содержат уязвимости в системе безопасности.
Учитывая, что потребители и предприятия полагаются сильно на свои смартфоны, результаты удивили исследователей, сказал Кан. Отсутствие самых простых мер предосторожности не очень хорошо говорит о разработчиках приложений для Android.
«Безопасность программного обеспечения и конфиденциальность данных становятся все более подверженными риску из-за уязвимостей при разработке и приобретении программного обеспечения, а так же от растущей сложности методов хакеров», - отметил Стив Поциас, президент Американского института потребительского рынка.
Результаты исследования указывают на опасения, присущие слабо проверенным приложениям с открытым исходным кодом для Android, сказал он, добавив, что предварительная идентификация скрытых уязвимостей Insignary является ключевым шагом для устранения этих проблем и защиты информации потребителей.
Как минимум, разработчикам необходимо устанавливать обновленные версии программного обеспечения без известных уязвимостей в безопасности, сказал Kans Insignary.
Ключевые моменты
Исследовательская группа Insignary провела проверку файлов APK в течение первой недели апреля. Команда выбрала 20 самых популярных приложений в каждой из 35 категорий приложений Android, включая игры, производительность, социальную сферу, развлечения и образование.
Существовали значительные недостатки в программировании кода в приложениях, предлагаемых в магазине Google Play ведущими поставщиками программного обеспечения, найденными бинарными сканированием. Из 700 просканированных файлов APK, 136 содержат уязвимости в безопасности.
Отчет проверенных файлов:
- 57% файлов APK с уязвимостями в безопасности, которым был присвоен статус как «Высокий уровень серьезности». Этот рейтинг означает, что установленные обновления программного обеспечения остаются уязвимыми для потенциальных угроз в безопасности.
- 86 из 136 файлов APK с уязвимостями в безопасности, связанные с openssl.
- 58 из 136 файлов APK с уязвимостями в безопасности, связанные с ffmpeg и libpng. Распространенность этих компонентов с открытым исходным кодом может быть связана с обилием изображений и видео в мобильных приложениях.
- 70% из 20 лучших приложений в категории игр содержат уязвимости в безопасности.
- 30% из 20 лучших приложений категории спорт содержат уязвимости в системе безопасности.
Серьезная проблема
Не многие инструменты могут искать в двоичном коде уязвимости. Большинство существующих инструментов ищут шаблоны кода, которые уже являются хорошо известными проблемами в безопасности.
«Инструменты анализаторы статического кода не могут обнаружить проблемы, которые мы еще не обнаружили, - отметил Канг.
Большинство компаний используют такие инструменты для поиска проблем с проприетарным кодом. Он отметил, что их проприетарные программы добавляются поверх компонентов с открытым исходным кодом.
«Разработчики программного обеспечения в значительной степени полагают, что открытый исходный код, который они используют, безопасен, потому что он используется многими людьми в течение многих лет», - сказал Канг. «Мы обнаружили, что они содержать менее 10% уязвимостей, которые уже известны».
Безопасность
Пользователи Android могут посетить бесплатный
У вас нет разрешения на просмотр ссылки, пожалуйста Вход или Регистрация
от Insignary, чтобы проверить файлы APK на потенциальные уязвимости в программном обеспечении, перед их установкой на свои устройства.Insignary не тестировал уязвимости APK на других сайтах, которые распространяют программное обеспечения для Android. Другие магазины могут представлять еще больший риск с вредоносным кодом.
«Во всяком случае, многие - если не все магазины проходят меньше процедур безопасности, чем Play Store - поэтому для пользователей Android особенно важно следить за загрузкой приложений из этого источника».
Бдительность в отношении обновлений систем, приложений и патчей - это то, что можно сделать, добавил Кинг, а сторонние приложения могут помочь в управлении процессом.