<
>

2021新闻稿

3月31日,2021年3月31日

Synopsys Research在大流行中揭示了流行的移动应用中的大量安全问题

Synopsys,Inc。发布了该报告,危险在大流行中:移动应用程序安全测试的状态。由Synopsys Cyber​​security Research Center(Cyrc)制作的报告,研究了2021年第一季度在谷歌播放商店上的3,335个最受欢迎的Android移动应用程序的研究结果。该报告发现了大多数应用程序(63% )包含具有已知安全漏洞的开源组件,并突出显示其他普及安全问题,包括在应用程序代码中公开的敏感数据以及使用过多的移动设备权限。
 
该研究是使用Synopsys Black Duck二元分析进行的,重点是18个受欢迎的移动应用类别,其中许多人在大流行期间看到爆炸性增长,包括商业,教育和健康&健康。该应用程序在Google Play商店的下载最下载或最高级别中排名。虽然安全分析结果因应用类别而异,但所有18个类别中的至少三分之一包含已知的安全漏洞。
 
“就像任何其他软件一样,移动应用程序并非免受能够将消费者和企业的安全弱点和漏洞免于风险,”Synopsys软件完整性集团总经理Jason Schmitt表示。 “今天,当您考虑大流行者迫使我们许多人如何迫使美国,学生和劳动力的大量部分时,移动应用程序安全尤为重要 - 适应越来越多的移动依赖的远程生活方式。在这些变化的背景下,此报告强调了移动应用程序生态系统的关键需求,以共同提高栏的开发和维护安全软件。“
 
移动应用中的开源漏洞是普遍存在的。 在分析的3,335个应用中,63%包含具有至少一个已知安全漏洞的开源组件。弱势应用程序含有39个漏洞。总的来说,Cyrc确定了超过3,000个独特的漏洞,它们出现了超过82,000次。
 
已知的漏洞是一个可解决的问题。 虽然在本研究中未发现的漏洞数量是令人生畏的,但可能更令人惊讶的是,检测到的94%的漏洞具有公开记录的修复程序,这意味着有安全补丁或更新的开源组件的安全修补程序或更新版本。此外,73%检测到的漏洞中首次向公众披露于超过两年前,表明应用程序开发人员根本不考虑用于构建应用程序的组件的安全性。
 
深入分析高风险漏洞。 更全面的分析显示,Cyrc认为近一半(43%)的漏洞是高风险,因为它们要么积极开发或与记录的概念证明(PoC)漏洞有关。刚刚的漏洞中的百分之五是与利用或POC开采相关的漏洞 没有修复。其中一个漏洞均被归类为远程代码执行(RCE)漏洞 - 这是许多识别的漏洞,作为最严重的漏洞。 0.64%被归类为RCE漏洞 与主动漏洞或PoC漏洞相关联。
 
信息泄漏。 当开发人员在应用程序的源代码或配置文件中无意中公开敏感或个人数据时,可能会被恶意攻击者使用,以安装后续攻击。 Cyrc发现了数万个信息泄漏实例,其中曝光了潜在的敏感信息,从私钥和令牌到电子邮件和IP地址。 
 
过度使用移动设备权限。 移动应用程序通常需要访问移动设备的某些功能或数据有效运行。但是,一些应用程序肆无忌惮地或偷偷摸摸地需要比必要的更多的访问。 Cyrc分析的移动应用程序需要平均18个设备权限。这包括平均4.5 敏感的 权限,或需要最多访问个人数据的权限,以及Google分类为“不适合第三方使用”的3个权限的平均权限。一个有超过100万下载的应用程序需要11个谷歌对“保护级别:危险”的权限进行了11个权限。另一个具有超过500万个下载的应用程序需要共有56个权限,其中Google将31个分类为“保护级别:危险”或不应由第三方应用程序使用的签名权限。
 
比较应用类别。 18个类别中有六个包含的至少80%包含已知的漏洞,包括游戏,银行,预算和付款应用程序。生活方式和健康&适用于36%的弱势应用的最低百分比的健身类别。银行业,付款和预算类别也排名第三,用于最高平均移动设备权限数,远高于整体平均值18.游戏,教师,教育和生活方式应用程序所需的最低权限数。