Статьи

Уязвимости в изобилии в популярных приложениях для Android: отчет

  1. Тревожные Выводы
  2. Ключевые моменты
  3. Серьезная проблема
  4. Игнорирование безопасности
  5. Сроки опрошены
  6. Отправная точка
  7. Прояснение ясности
  8. Безопасность прежде всего

Джек М. Жермен
18 апреля 2018 10:11 утра по тихоокеанскому времени

Согласно отчету, около 20 процентов самых популярных приложений для Android, доступных в магазине Google Play, содержат компоненты с открытым исходным кодом с известными уязвимостями, которые могут быть использованы хакерами. Insignary выпустит на следующей неделе.

Полученные результаты являются результатом недавнего комплексного сканирования двоичного кода 700 самых популярных приложений для Android в магазине Google Play. Insignary - это компания, занимающаяся безопасностью и соответствием программного обеспечения с открытым исходным кодом.

Он использовал свою технологию двоичного сканирования на основе отпечатков пальцев Insignary Clarity для анализа файлов Android Package Kit (APK) на наличие известных уязвимостей безопасности с открытым исходным кодом и нашел их в одном из каждых пяти приложений Android. У некоторых были серьезные недостатки кода.

«С сегодняшней моделью закупок программного обеспечения и разработок было почти невозможно узнать, какие компоненты с открытым исходным кодом находятся в программном обеспечении. Наш инструмент является первым, кто сможет каталогизировать все компоненты с открытым исходным кодом в двоичном формате - потребители программного обеспечения получают и используют - - и сообщите, какие компоненты, как известно, скрывают известные уязвимости в безопасности », - сказал Тэ-Джин (TJ) Канг, генеральный директор Insignary.

Инструменты бинарного сканирования компании также работают на корпоративном программном обеспечении, но большая библиотека Android-приложений с открытым исходным кодом предоставила лучшую возможность продемонстрировать число известных уязвимостей безопасности, которые скрываются в сегодняшнем коде, сказал он.

«Наша цель - не просто выделить проблемы. Мы хотели посмотреть, насколько распространены эти проблемы», - сказал Канг в LinuxInsider.

Тревожные Выводы

Двадцать процентов отсканированных приложений Android имели компоненты с открытым исходным кодом, которые, как известно, содержат уязвимости безопасности.

Учитывая, что потребители и компании полагаются так же сильно, как и на свои смартфоны, результаты удивили исследователей, сказал Кан. Отсутствие самых элементарных мер безопасности не очень хорошо относится к разработчикам приложений для Android.

«Безопасность программного обеспечения и конфиденциальность данных все больше подвергаются риску из-за недостатков в разработке и приобретении программного обеспечения и приложений, из-за растущей изощренности хакеров и их методов», - отметил Стив Пояск, президент Центр гражданских исследований Американского института потребителей , который был проинформирован о докладе.

Результаты исследования указывают на опасность, присущую плохо проверенным приложениям Android с открытым исходным кодом от поставщиков приложений, сказал он, добавив, что предварительная идентификация скрытых уязвимостей Insignary является ключевым шагом в решении этих проблем и защите информации для потребителей.

«Очевидно, что необходимо предпринять шаги для улучшения качества безопасности и конфиденциальности данных в приложениях Android и других программах, использующих компоненты программного обеспечения с открытым исходным кодом, до того, как они достигнут предприятий и потребителей», - сказал Пояск LinuxInsider.

Как минимум, разработчики должны развернуть обновленные версии программного обеспечения без известных уязвимостей безопасности, говорит Канг из Insignary.

Ключевые моменты

Научно-исследовательская группа Insignary сканировала файлы APK в течение первой недели апреля. Команда выбрала 20 самых популярных приложений в каждой из 35 категорий приложений для Android, включая игры, производительность, социальные сети, развлечения и образование.

Как отмечалось в бинарном сканировании, в программном коде были значительные недостатки в приложениях, предлагаемых в Google Play Store ведущими поставщиками программного обеспечения. Из 700 отсканированных APK-файлов 136 содержали уязвимости безопасности.

Другие выводы:

  • 57 процентов APK-файлов с уязвимостями безопасности содержали уязвимости, которые были оценены как «Высокий уровень опасности». Этот рейтинг означает, что развернутые обновления программного обеспечения остаются уязвимыми для потенциальных угроз безопасности.
  • 86 из 136 APK-файлов с уязвимостями безопасности содержали уязвимости, связанные с openssl.
  • 58 из 136 APK-файлов с уязвимостями безопасности содержали уязвимости, связанные с ffmpeg и libpng. Распространенность этих компонентов с открытым исходным кодом может быть связано с обилием изображений и видео в мобильных приложениях.

Интересно, что в трех отсканированных APK-файлах содержалось более пяти двоичных файлов с уязвимостями безопасности. Большинство APK-файлов с уязвимостями содержали от одного до трех двоичных файлов с уязвимостями.

  • 70 процентов из 20 лучших приложений в категории «Игры» содержат уязвимости безопасности.
  • 30 процентов из 20 лучших приложений в категории «Спорт» содержат уязвимости безопасности.

Исследователи пришли к выводу, что в одном из пяти файлов APK не используются правильные, самые последние версии доступных компонентов программного обеспечения с открытым исходным кодом.

Серьезная проблема

Не многие инструменты могут перебрать бинарный уровень, чтобы найти уязвимости. Большинство существующих инструментов ищут шаблоны кода, которые уже являются хорошо известными проблемами безопасности.

«Инструменты статического анализатора кода не могут обнаружить обнаруженные проблемы», - отметил Кан.

Большинство компаний используют такие инструменты для поиска проблем в проприетарном коде. Их проприетарные программы добавляются поверх открытых компонентов, отметил он.

«Разработчики программного обеспечения в значительной степени предполагают, что открытый исходный код, который они используют, безопасен, потому что он используется многими людьми в течение многих лет», - сказал Канг. «Мы обнаружили, что они обнаруживают только менее 10 процентов уязвимостей, которые уже известны».

Игнорирование безопасности

Сообщество открытого исходного кода создало новые версии компонентов для устранения всех перечисленных ранее уязвимостей. Согласно отчету, разработчики и поставщики программного обеспечения могут использовать эти версии для предотвращения взлома данных и последующих судебных процессов, которые могут привести к значительным корпоративным убыткам.

В ходе обсуждений с различными поставщиками Insignary встретил несколько разработчиков, которые указали на то, что они предпочитают применять патчи построчно, отмечается в отчете.

Такую же реакцию проявили разработчики несколько месяцев назад, когда Insignary сообщила, что WiFi роутеры были пронизаны с дырами в безопасности.

Хотя некоторые специалисты могут использовать специальный подход для ручного исправления построчно для устранения уязвимостей, похоже, что это скорее исключение, чем правило, заключили исследователи Insignary.

Хотя этот метод может работать, разработчики приложений для Android все равно должны сканировать свои двоичные файлы, чтобы убедиться, что они обнаруживают и устраняют все известные уязвимости безопасности, советуют исследователи.

В отчете предлагается две возможности отказа использовать правильную версию компонента в Android Apps. Один из них заключается в том, что разработчики не считают эти уязвимости достойными внимания. Другой заключается в том, что они не используют систему, которая точно находит и сообщает о компонентах с открытым исходным кодом, которые, как известно, содержат известные уязвимости безопасности.

Сроки опрошены

В целом, Play Store, вероятно, сегодня более безопасен, чем когда-либо, отметил Чарльз Кинг, главный аналитик Pund-IT. Google, безусловно, серьезно относится к безопасности приложений, и в самом последнем отчете компании по безопасности Android подробно описываются меры, принятые компанией для повышения качества безопасности.

«Тем не менее, в броне Android есть и, вероятно, всегда будут трещины, в основном из-за скудных усилий многих разработчиков приложений и производителей устройств по внедрению и доставке исправлений», - сказал он LinuxInsider.

Это вряд ли изменится, поэтому такие проекты, как Insignary, могут сыграть важную роль в информировании владельцев устройств Android. Было бы интересно узнать, может ли Insignary предоставить доказательства того, что обнаруженные уязвимости привели к эксплуатации значительного числа устройств Android, сказал Кинг.

«Похоже, что объявление было приурочено к тому, чтобы воспользоваться конференцией RSA на этой неделе, поэтому заявления о таких крупных игроках, как Google, могут помочь Insignary выделиться из толпы», - отметил он.

Знаменосец был неизвестен менее года назад. Кинг отметил, что в начале этого года он получил 2 млн. Долл. США на финансирование серии А, а это означает, что это очень ранняя организация с начальной стадией, в которой всего несколько сотрудников.

«Его технология сканирования двоичного кода может быть отличной, но она также противостоит нескольким другим компаниям, которые существуют дольше, включая Veracode, Synopsys и WhiteHat Security», - сказал он. «Я понятия не имею, как решение Insignary сочетается с теми и другими».

Отправная точка

Google Play Store намного лучше, чем другие репозитории в проверке программного кода, признал Канг из Insignary.

Тем не менее, в некоторых странах, например, в Китае, Google Play Store не разрешен, и в других регионах в качестве конкурентов существуют другие точки распространения программного обеспечения, сказал он.

Отчет Insignary не фокусируется на фактическом существовании нарушений из-за уязвимостей Android. Цель состоит в том, чтобы пользователи Android и разработчики программного обеспечения знали о ситуации.

По словам Канга, имеет смысл осознать, что хакеры будут заниматься известными проблемами, а не работать над поиском еще не раскрытых уязвимостей. Можно предпринять шаги для устранения уязвимостей.

Прояснение ясности

Сканер Insarityary Clarity - это решение для обеспечения безопасности, которое позволяет превентивно сканировать двоичные файлы программного обеспечения на наличие известных предотвратимых уязвимостей. Также выявляются проблемы с соблюдением лицензий.

Инструмент Clarity использует уникальную технологию, основанную на отпечатках пальцев, которая работает на двоичном уровне без необходимости использования исходного кода или обратного инжиниринга. Это облегчает разработчикам программного обеспечения, реселлерам с добавленной стоимостью, системным интеграторам и поставщикам управляемых услуг контроль над развертыванием программного обеспечения для принятия надлежащих превентивных действий перед поставкой программного обеспечения, согласно Insignary.

Компания Insignary Clarity уникальна тем, что сканирует «отпечатки пальцев» из двоичного кода для проверки, а затем сравнивает их с отпечатками пальцев, собранными с компонентов с открытым исходным кодом в многочисленных репозиториях с открытым исходным кодом. Этот процесс отличается от контрольных сумм или основанных на хэше двоичных сканеров.

Для ясности не требуется хранить отдельные базы данных контрольной суммы или хэш-информации для каждой архитектуры ЦП. По словам компании, это значительно повышает гибкость и точность Clarity по сравнению с устаревшими бинарными сканерами.

Как только компонент и его версия идентифицированы посредством сопоставления на основе отпечатков пальцев Clarity, программное обеспечение сканера сравнивает их с более чем 180 000 известных уязвимостей безопасности, каталогизированных в многочисленных базах данных.

Clarity также обеспечивает «нечеткое сопоставление» двоичного кода и поддерживает LDAP, RESTful API и серверы автоматизации, такие как Jenkins.

Безопасность прежде всего

Пользователи Android могут посетить Insignary's бесплатное сканирование сайта проверить, содержит ли APK-файл потенциальные уязвимости программного обеспечения, прежде чем устанавливать его на свои устройства.

Insignary не проверял уязвимости файла APK на других сайтах распространения программного обеспечения Android. Однако, по словам Кинга, другие торговые точки могут представлять еще больший риск для опасного кода.

«Во всяком случае, во многих, если не в большинстве других магазинах, меньше процедур безопасности и защиты, чем в Play Store, - сказал он, - поэтому пользователям Android особенно важно проявлять осторожность при загрузке приложений из этих источников».

Кинг добавил, что сохранять бдительность в отношении обновлений и исправлений системы и приложений может каждый, а сторонние приложения могут помочь в управлении процессом. Кинг добавил, что сохранять бдительность в отношении обновлений и исправлений системы и приложений может каждый, а сторонние приложения могут помочь в управлении процессом

Джек М Джек М. Жермен является репортером ECT News Network с 2003 года. Основными направлениями его деятельности являются корпоративные ИТ, Linux и технологии с открытым исходным кодом. Он написал множество обзоров дистрибутивов Linux и других программ с открытым исходным кодом. Email Джек.

2011.11.19
Карта