В 46% популярных Android-приложений используются уязвимые компоненты

26 марта 2021 года

Почти все самые популярные приложения Android используют компоненты с открытым исходным кодом, но многие из этих компонентов устарели и имеют как минимум одну опасную уязвимость. Специалисты компании Synopsys провели анализ 3335 самых популярных мобильных приложений для Android в 18 категориях, включая игровые, финансовые и производственные программы, и обнаружили, что 98% из них используют открытый исходный код, в среднем по 20 компонентов на приложение.

Согласно отчету, почти половина приложений (46%) содержат компонент с открытым исходным кодом с опасной уязвимостью, а почти три четверти известных уязвимостей были старше как минимум двух лет. Уязвимые компоненты были выявлены в 96% проанализированных бесплатных игр, 94% самых прибыльных игр, 88% банковских приложений и 84% приложений для составления бюджета. По данным Synopsys, около 1% из 3137 проблем, обнаруженных в ПО, являются уязвимостями удаленного выполнения кода.

Менее 5% опасных проблем в настоящее время не имеют исправлений. Уязвимые приложения раскрывают персональные данные, включая URL-адреса, IP-адреса и адреса электронной почты, а также более конфиденциальную информацию, например, OAuth-токены, асимметричные закрытые ключи, ключи AWS и web-токены JSON.

Еще одна проблема заключается в том, что приложения требуют в среднем 18 различных разрешений для устройств, более четырех конфиденциальных разрешений и трех разрешений, которые Google классифицировала как «не предназначенные для использования третьими лицами». Больше всего разрешений запрашивали финансовые программы — 24 разрешения или более.

	 Отчет призван предупредить разработчиков мобильных приложений о существующих проблемах и побудить их следовать методам безопасного кодирования, отслеживать компоненты с открытым исходным кодом, используемые при разработке, и регулярно обновлять свой код.

Источники

править
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.