Более 60% Android-приложений имеют уязвимые к атакам компоненты

Дата: 26.03.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Более 60% Android-приложений имеют уязвимые к атакам компоненты

Специалисты компании Synopsys утверждают, что большая часть популярных Android-приложений из магазина Google Play имеет проблемы с безопасностью – они работают на основе компонентов с открытым исходным кодом.

Эксперты из Synopsys изучили более 3,3 тыс. Android-приложений разного типа, которые пользуются наибольшим спросом среди пользователей. В перечень исследуемых программ вошли игры, приложения для онлайн-банкинга, знакомств, образования, обучения, занятия спортом и т. д.

Проведенные исследования показали, что в 98% приложений применяются opensource-компоненты – около 20 подобных модулей в каждой из изученных программ. В 44% случаев применение подобных компонентов потенциально приводит к появлению серьезной уязвимости, к которой уже может существовать распространяемый эксплойт.

В общей сложности специалистами Synopsys было найдено около 3 тыс. уязвимостей, многие из которых повторялись в приложениях более 82000 раз. Около 75% найденных уязвимостей были известны еще более 2-х лет назад. Для 94% из всех ошибок разработчики уже выпустили соответствующие обновления.

Уязвимые компоненты эксперты из Synopsys чаще всего обнаруживали в играх (в 80% платных играх), в приложениях для онлайн-банкинга, для планирования бюджета, для проведения платежей.

«Результаты нашего исследования не обнадёживают. Они нам наглядно демонстрируют, что еще на этапе разработки создатели мобильных приложений должны больше внимания уделять безопасности. Разработчики приложений для Android обязаны быть хорошо знакомы со всеми сторонними компонентами, которые они применяют при создании программ, а также вносить в свой код обновления по мере выпуска патчей», – заявили в Synopsys.

Помимо уязвимостей, специалисты из Synopsys также проверяли вероятность утечки конфиденциальной информации из мобильных приложений для Android, количество разрешений, которое запрашивает программа. Выяснилось, что из-за банальных ошибок разработчиков мобильные приложения сливают IP-адреса пользователей, их электронную почту, токены OAuth, закрытые RSA-ключи, ключи к сервисам Amazon Web Services, токены Google Cloud, Facebook.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *