Около 20 процентов самых популярных приложений для Android, доступных через Google Play Store, содержат компоненты с открытым исходным кодом с известными уязвимостями безопасности, которые могут быть использованы хакерами, согласно отчету Insignary, опубликованному на прошлой неделе.
Полученные отчеты являются результатом недавнего всеобъемлющей испекции кода компанией 700 самых популярных приложений для Android в Google Play Store. Insignary - это система обеспечения безопасности и соответствия требованиям программного обеспечения с открытым исходным кодом на двоичном уровне.
Специалисты использовали технологию бинарного сканирования на основе отпечатков пальцев Insignary Clarity для анализа файлов пакета Android Pack Kit (APK) для известных уязвимостей безопасности с открытым исходным кодом и нашли их в одном из каждых пяти приложений для Android. Некоторые из них были серьезными уязвимостями в коде.
«С сегодняшней моделью разработки программного обеспечения практически невозможно узнать, какие компоненты с открытым исходным кодом находятся в программном обеспечении. Наш инструмент может каталогизировать все компоненты с открытым исходным кодом в двоичном формате, программный комплекс анализирует код приложений и ищет уже известный код скомпилированных компонентов, и сообщает, какие из них содержат известные уязвимости безопасности», - сказал Тэ-Цзинь (TJ) Кан, генеральный директор компании Insignary.
Средство бинарного сканирования компании также работает на корпоративном программном обеспечении, но огромная библиотека приложений с открытым исходным кодом для Android предоставила лучшую возможность продемонстрировать количество известных уязвимостей безопасности, которые скрываются в сегодняшнем коде, сказал он.
«Наша цель - не просто осветить проблемы. Мы хотели показать, насколько распространены эти проблемы», - сказал Канг для LinuxInsider.
Неутешительные выводы
Двадцать процентов сканированных приложений для Android имели компоненты с открытым исходным кодом, которые содержат уязвимости в системе безопасности.
Учитывая, что потребители приложений доверяют своим смартфонам в плане защищенности, результаты удивили исследователей, сказал Кан. Отсутствие самых простых мер предосторожности, показывает разработчиков приложений для Android с не очень хорошей стороны.
«Безопасность программного обеспечения и конфиденциальность данных становятся все более подверженными риску из-за недостатков в разработке программного обеспечения, от возрастающего опыта хакеров и их новых методов взлома», - отметил Стив Поциас, президент Американского потребительского института по исследованию граждан, который был проинформирован о докладе.
Результаты исследования вызывают опасения, из-за использования разработчиками Android в своих приложениях не проверенных компонентов с открытым исходным кодом, сказал он, добавив, что предварительная идентификация скрытых уязвимостей Insignary является ключевым шагом для устранения этих проблем и защиты информации пользователей.
«Понятно, что необходимо предпринять шаги для повышения качества кода и конфиденциальности данных в приложениях для Android и не только для него, которые используют компоненты программного обеспечения с открытым исходным кодом до того, как они будут направлены корпоративным и частным пользователям», - сказал Посяскан LinuxInsider.
Как минимум, разработчикам необходимо использовать обновленные версии программного обеспечения без известных уязвимостей безопасности, сказал Кэнс в интервью для Insignary.
Ключевые моменты
Исследовательская группа Insignary провела проверку APK файлов в течение первой недели апреля. Команда выбрала 20 самых популярных приложений в каждой из 35 категорий приложений для Android: игры, производительность, социальная сфера, развлечения и образование.
Бинарным сканированием выявлены значительные недостатки в программном коде приложений, предлагаемых в магазине Google Play, ведущими поставщиками программного обеспечения. Из 700 просканированных APK файлов, 136 содержат критические уязвимости в безопасности.
Другие выводы:
- 57% файлов APK содержат уязвимости, которые были помечены с «Высоким уровнем критичности». Этот рейтинг означает, что уже установленные обновления программного обеспечения остаются уязвимыми для потенциальных угроз безопасности.
- 86 из 136 файлов APK содержат уязвимости, связанные с openssl.
- 58 из 136 файлов APK содержат уязвимости, связанные с ffmpeg и libpng. Распространенность этих компонентов с открытым исходным кодом может быть связана с обилием изображений и видео в мобильных приложениях.
Интересно, что три просканированных APK файла содержали более пяти двоичных файлов с уязвимостями безопасности. Большинство APK-файлов с уязвимостями содержали в среднем от одного до трех бинарных файлов с уязвимостями безопасности.
- 70% из 20 лучших приложений в категории игр содержат уязвимости безопасности.
- 30% из 20 лучших приложений категории "Спорт" содержат уязвимости в системе безопасности.
Исследователи пришли к выводу, что каждый пятый APK-файл, содержит в себе устаревшие и небезопасные версии доступных программных компонентов с открытым исходным кодом.