Популярные приложения для Android ставят под угрозу конфиденциальность и безопасность потребителей

Cloud Networks > Новости > Популярные приложения для Android ставят под угрозу конфиденциальность и безопасность потребителей
04.04.2021

Популярные приложения для Android ставят под угрозу конфиденциальность и безопасность потребителей

Утечка информации может привести к тяжелым последствиям. Особую тревогу вызывают недавние выводы Исследовательского центра кибербезопасности Synopsys (CyRC).

Анализ более 3000 популярных мобильных приложений для Android показал, что утечка информации – обычное дело. Среди найденной информации:

  • пароли,
  • учетные данные пользователя,
  • адреса электронной почты,
  • токены.

С помощью этой информации злоумышленники могут получить доступ к чьим-либо серверам, системам или конфиденциальным данным и установить вредоносное ПО или даже получить доступ к банковским приложениям.

Многие из приложений требуют чрезмерного использования мобильных разрешений. CyRC обнаружил в среднем 4,5 конфиденциальных разрешения на одно приложение. Было обнаружено, что одно приложение с более чем миллионом загрузок требует 11 разрешений, которые Google классифицирует как «Уровень защиты: опасный».

Лучшие бесплатные игры, самые прибыльные игры, банковские приложения, приложения для составления бюджета, платежные приложения и самые платные игры вошли в топ-6 самых уязвимых приложений.

В отчете также обнаружено:

  • 63% приложений содержат компоненты с открытым исходным кодом с известными уязвимостями безопасности.
  • В среднем на каждое уязвимое приложение приходится 39 уязвимостей.
  • 44% из них были идентифицированы как группы высокого риска, потому что они либо активно использовались, либо связаны с документально подтвержденными эксплойтами (PoC).
  • Около 5% уязвимостей связаны с эксплойтом или эксплойтом PoC, и для них нет исправлений.
  • 1% уязвимостей классифицируется как уязвимости удаленного выполнения кода (RCE), что многими признается наиболее серьезным классом уязвимостей.
  • 0,64% классифицируются как RCE-уязвимости и связаны с активным эксплойтом или эксплойтом PoC.
  • 94% обнаруженных уязвимостей имеют публично задокументированные исправления. То есть доступны исправления безопасности или более новые версии компонентов с открытым исходным кодом.
  • 73% из 3137 обнаруженных уникальных уязвимостей были впервые раскрыты общественности более двух лет назад, что указывает на то, что разработчики приложений просто не учитывают безопасность компонентов, используемых для создания своих приложений.

Джейсон Шмитт, генеральный менеджер Synopsys Software Integrity Group, прокомментировал:

«Как и любое другое программное обеспечение, мобильные приложения не защищены от недостатков и уязвимостей безопасности, которые могут поставить под угрозу потребителей и предприятия.

Сегодня безопасность мобильных приложений особенно важна, если учесть, как пандемия вынудила многих из нас, включая детей, студентов и значительную часть рабочей силы, адаптироваться к мобильному и удаленному образу жизни.

На фоне изменений в этом отчете подчеркивается критическая необходимость для экосистемы мобильных приложений коллективно поднять планку для разработки и поддержки безопасного программного обеспечения».

Подробнее вы можете узнать в отчете «Угроза пандемии: состояние тестирования безопасности мобильных приложений».

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
to-top