根据Insignary下周发布的报告,通过Google Play商店获得的大多数最受欢迎的Android应用程序中,约有20%包含具有已知安全漏洞的开源组件,这些漏洞可能被黑客利用 。
该调查结果是该公司最近对Google Play商店中700个最受欢迎的Android应用程序进行的全面二进制代码扫描的结果。Insignary是一家二元级开源软件安全和合规公司。
它利用基于Insignary Clarity指纹的二进制扫描技术分析Android Package Kit(APK)文件中的已知开源安全漏洞,并在每五个Android应用程序中找到一个。有些是严重的代码缺陷。
“利用当今的软件和开发采购模式,几乎不可能知道哪些开源组件驻留在软件中,我们的工具是第一个能够以二进制格式(消费者接收和使用的软件)对所有开源组件进行编目的工具, - 并且报告哪些组件已知存在已知安全漏洞,“Insignary首席执行官Tae-Jin(TJ)Kang说。
他说,该公司的二进制扫描工具也适用于企业软件,但大型开源Android应用程序库提供了一个更好的机会来展示当今代码中潜藏的已知安全漏洞的数量。
“我们的目标不是要突出问题,我们希望看到这些问题是多么普遍,”Kang告诉LinuxInsider。
报警发现
扫描的Android应用程序中有20%具有已知包含安全漏洞的开源组件。
鉴于消费者和企业依赖他们的智能手机,他们的结果令人惊讶,研究人员说,康说。Android应用程序开发人员缺乏最基本的安全预防措施。
“软件安全和数据保密也越来越有风险,由于在软件和应用程序的开发和采购的缺陷,黑客和他们的方法日趋复杂,指出:”史蒂夫Pociask的总裁 美国消费者协会的中心公民研究,谁听取了报告的汇报。
这项研究的里程碑式的发现指出了来自应用程序供应商的开源Android应用程序审查中固有的危险,他补充说,Insignary对隐藏漏洞的前期识别是遏制这些问题和保护消费者信息的关键步骤。
“很显然,在到达企业和消费者之前,需要采取措施来提高Android应用程序和其他利用开源软件组件的软件的安全和数据隐私质量。”Pociask告诉LinuxInsider。
Insignary公司的Kang说,至少开发人员需要部署没有已知安全漏洞的更新软件版本。
关键点
Insignary的研发团队在4月的第一周内扫描了APK文件。该团队在35个Android应用类别中选择了20个最受欢迎的应用,其中包括游戏,生产力,社交,娱乐和教育等。
二进制扫描表明,顶级软件供应商在Google Play商店提供的应用程序中的编程代码存在重大缺陷。在扫描的700个APK文件中,有136个包含安全漏洞。
其他发现:
有安全漏洞的APK文件中有57%包含被评为“严重程度高”的漏洞。此评级意味着部署的软件更新仍然容易受到潜在安全威胁的影响。
安全漏洞的136个APK文件中有86个包含与openssl相关的漏洞。
安全漏洞的136个APK文件中有58个包含与ffmpeg和libpng相关的漏洞。这些开源组件的流行可归因于移动应用程序中大量的图片和视频。
有趣的是,扫描的三个APK文件包含五个以上存在安全漏洞的二进制文件。大多数带有漏洞的APK文件都包含一对三的具有安全漏洞的二进制文件。
游戏类别的前20个应用程序中有70%包含安全漏洞。
“体育”类别的前20个应用中有30%包含安全漏洞。
研究人员总结说,有五分之一的APK文件没有使用正确,最新版本的开源软件组件。
严重的问题
没有多少工具可以通过二进制级别进行排序来发现漏洞。大多数现有工具都会查找已知为安全问题的代码模式。
“静态代码分析工具无法检测到我们发现的问题,”Kang指出。
大多数公司使用这些工具来查找专有代码中的问题。他指出,他们的专有程序被添加到开源组件之上。
“软件开发人员非常认为他们使用的开源代码是安全的,因为很多人都使用它,”Kang说。“我们发现他们只能检测到已知漏洞的不到10%。”
忽视安全
开源社区已经创建了组件的新版本,以解决所有先前列出的安全漏洞。据报道,软件开发商和供应商可以使用这些版本来防止数据泄露和随后可能导致重大企业损失的诉讼。
报告指出,在与不同厂商的讨论中,Insignary遇到了一些开发人员,他们倾向于手动应用补丁程序。
这是几个月前开发商表示的同样的反应,当Insignary报道 WiFi路由器充满了安全漏洞。
一些人可能会使用手动修补逐行处理漏洞的临时方法,但这似乎是例外,而不是规则,Insignary的研究人员总结道。
研究人员表示,虽然这种方法可能有效,但Android应用程序开发人员仍应扫描其二进制文件,以确保它们捕获并解决所有已知的安全漏洞。
报告显示,有两种可能性未能通过Android应用程序使用正确的组件版本。一个是开发人员不认为这些值得解决的漏洞。另一个原因是他们不使用能够准确查找和报告已知包含已知安全漏洞的开源组件的系统。
时机质疑
总体而言,Pund-IT的首席分析师查尔斯金认为,Play商店今天可能比过去更安全。谷歌肯定会认真对待应用程序安全性,该公司最新的Android安全报告详细介绍了该公司为提高安全质量而采取的措施。
“也就是说,Android的装甲存在并可能永远都会出现裂缝,这主要是由于许多应用程序开发人员和设备制造商在实施和提供补丁方面做出的粗略努力,”他告诉LinuxInsider。
这是不太可能改变的,因此像Insignary这样的项目可以在保持Android设备所有者的信息方面发挥宝贵的作用。金说,知道Insignary是否可以提供证据证明它发现的漏洞导致大量Android设备被利用,这将是有趣的。
“这个消息似乎是本周利用RSA大会的时间,所以对谷歌这样的主要参与者提出有争议的主张可能会帮助Insignary脱颖而出,”他指出。
领取专属 10元无门槛券
私享最新 技术干货