В 46% популярных Android-приложений используются уязвимые компоненты

Пт 26 Март 2021 08:37

Почти все самые популярные приложения Android используют компоненты с открытым исходным кодом, но многие из этих компонентов устарели и имеют как минимум одну опасную уязвимость. Специалисты компании Synopsys провели анализ 3335 самых популярных мобильных приложений для Android в 18 категориях, включая игровые, финансовые и производственные программы, и обнаружили, что 98% из них используют открытый исходный код, в среднем по 20 компонентов на приложение.

Согласно отчету, почти половина приложений (46%) содержат компонент с открытым исходным кодом с опасной уязвимостью, а почти три четверти известных уязвимостей были старше как минимум двух лет. Уязвимые компоненты были выявлены в 96% проанализированных бесплатных игр, 94% самых прибыльных игр, 88% банковских приложений и 84% приложений для составления бюджета. По данным Synopsys, около 1% из 3137 проблем, обнаруженных в ПО, являются уязвимостями удаленного выполнения кода.

Менее 5% опасных проблем в настоящее время не имеют исправлений. Уязвимые приложения раскрывают персональные данные, включая URL-адреса, IP-адреса и адреса электронной почты, а также более конфиденциальную информацию, например, OAuth-токены, асимметричные закрытые ключи, ключи AWS и web-токены JSON.

Еще одна проблема заключается в том, что приложения требуют в среднем 18 различных разрешений для устройств, более четырех конфиденциальных разрешений и трех разрешений, которые Google классифицировала как «не предназначенные для использования третьими лицами». Больше всего разрешений запрашивали финансовые программы — 24 разрешения или более. Отчет призван предупредить разработчиков мобильных приложений о существующих проблемах и побудить их следовать методам безопасного кодирования, отслеживать компоненты с открытым исходным кодом, используемые при разработке, и регулярно обновлять свой код.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 127 дней 12 часов 52 минуты 51 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.