Приложенията на Android са по-рискови от всякога: Отчет

Приложенията на Android са по-рискови от всякога: Отчет

Широко разпространеното използване на непакетиран код с отворен код в най-популярните приложения за Android, разпространявани от Google Play, е причинило значителни уязвимости в сигурността, сочи доклад на американския потребителски институт , публикуван в сряда.

Тридесет и два процента – или 105 приложения от 330 от най-популярните приложения в 16 категории, от които са взети проби – са средно 19 уязвими места за всяко приложение, според доклада , озаглавен „Колко безопасни са популярните приложения? Изследване на критичните уязвимости и защо потребителите Трябва да се грижим. “

Изследователите откриха критични уязвимости в много често срещани приложения, включително някои от най-популярните банкови услуги, закупуване на билети за събития, спортни и пътни приложения.


Графика: Разпределение на уязвимости въз основа на сериозността на риска за сигурността

Разпределение на уязвимости въз основа на сериозността на риска за сигурността

ACI, организация с нестопанска цел в областта на образованието и изследванията на потребителите, издаде доклада, за да оглави публична кампания за обучение, за да насърчи доставчиците и разработчиците на приложения да се справят с влошаващата се криза в сигурността преди правителствените регулации да налагат контрол над Android и разработването на код с отворен код. института.

ACI ще представи доклада във Вашингтон в сряда, на обществена група, на която присъстват членовете на комитета и персонала на Конгреса. Заседанието е отворено за обществеността.

„Имаше 40 000 известни уязвимости с отворен код през последните 17 години и една трета от тях дойдоха миналата година“, каза Pociask на ACI за LinuxInsider. Това е сериозна причина за безпокойство, като се има предвид, че 90% от целия софтуер, който се използва днес, съдържа софтуерни компоненти с отворен код.

Натискане на стандартите

ACI реши, че общественият панел ще бъде добро място за обучение на потребителите и индустрията за недостатъци в сигурността, които заразяват приложенията за Android, каза Pociask. Докладът трябва да бъде отправна точка за определяне дали разработчиците и доставчиците на приложения поддържат оповестените уязвимости.

– Знаем, че хакерите със сигурност са – отвърна Подяску. – По някакъв начин даваме … пътна карта на хакерите, за да влязат.

Целта е да се предотврати нуждата от евентуален държавен контрол върху софтуера чрез създаване на публичен диалог, който да разглежда няколко основни въпроса. Като се имат предвид резултатите от проучването, потребителите и законодателите трябва да знаят дали доставчиците на приложения и разработчиците бавно се актуализират за сметка на разходите или просто се наслаждават на сигурността.

Други важни въпроси без отговор, според Pociask, включват следното: Доставчиците уведомяват потребителите за необходимостта от актуализиране на приложенията? До каква степен клиентите актуализират приложенията?

Не всеки разчита на автоматичното обновяване на платформата за Android, отбеляза той.

„Някои доставчици възлагат разработката на софтуер, за да се приспособят към бюджета си и не следват уязвимостите“, каза Pociask.

Ако държавната стъпка може да доведе до вредни последствия, предупреди той. Понякога вложените решения не са гъвкави и могат да възпират иновациите.

„За индустрията е важно да се подготви по отношение на изискванията за поверителност, подправяне на телефонни номера и въпроси, свързани със сигурността“, каза Pociask.

Параметри на отчета

Бизнесът се бори да осигури адекватна защита на личната информация и неприкосновеността на личния живот на потребителите. Правителствата в Калифорния и в Европейския съюз въвеждат по-агресивни закони за поверителността на потребителите. Американците са осъзнали колко уязвими са кражбите им, според доклада.

Едно привидно незаменимо устройство, което повечето потребители и фирми използват е смартфон. Приложенията върху него обаче може да са един от най-сериозните рискове за сигурността на данните и поверителността, отбелязва докладът.

Изследователите са тествали 330 от най-популярните приложения за Android в Google Play Магазин през първата седмица на август. Изследователският екип на ACI използва двоичен кодов скенер – Clarity, разработен от Insignary – за да разгледа файловете на APK.

Вместо да се фокусират върху случайни извадки от приложенията в Google Play Магазин, изследователите на ACI докладват за най-големите или най-популярните приложения в категориите. Повечето от приложенията се разпространяват в САЩ. Изследователите са избрали 10 водещи приложения във всяка от 33-те категории в Google Play Магазин.

Факториране на резултатите

Резултатите бяха очертани като критични, високи, средни и ниски резултати за уязвимост. От 330 тествани приложения, 105 – или 32% – съдържат уязвимости. От идентифицираните, 43% са били критични или с висок риск, въз основа на националната база данни за уязвимостта, според доклада.

„Ние базирахме нашето проучване върху най-популярните приложения във всяка категория. Кой знае колко по-лошо е, че неизпитаните приложения са по отношение на уязвимостите?“ – попита Почиаск.

В приложенията, включени в извадката, бяха открити 1978 уязвимости във всички нива на сериозност и 43% от откритите уязвимости бяха счетени за рискови или критични. Приблизително 19 уязвимости са били налице за всяко приложение.

Докладът съдържа имената на някои приложения като примери за различните начини, по които продавачите се занимават с уязвимости. Критични уязвимости са открити в много често срещани приложения, включително някои от най-популярните банкови услуги, закупуване на билети за събития, спортни и пътни приложения.

Например, банката на Америка имаше 34 критични уязвими места, а Уелс Фарго имаше 35 критични уязвимости. Vivid Seats имаше 19 критични и пет големи уязвимости.

Няколко седмици по-късно изследователите повториха някои от приложенията, които първоначално бяха изпробвани извън обхвата. Те установиха, че двете банкови приложения са били изчистени с актуализации. Приложението „Живи седалки“ обаче все още има уязвимости, каза Почиаск.

Показания за средства за защита

По-ефективното управление е от решаващо значение за справяне с „заплахи като компрометирани потребителски устройства, откраднати данни и други злонамерени действия, включително кражба на самоличност, измама или корпоративен шпионаж“, се посочва в доклада.

Тези резултати са все по-важни, отбелязват изследователите.

Проучването ACI препоръчва разработчиците на приложения за Android да сканират бинарните си файлове, за да се уверят, че улавят и адресират всички известни уязвимости в сигурността. Изследването също така подчертава неотложността и необходимостта доставчиците на приложения да разработват най-добри практики сега, за да намалят рисковете и да предотвратят реакции от страна на обществеността и политиците.

Изследователите изтъкнаха удовлетворението, което много доставчици на приложения са показали, че не са успели да запазят софтуера си по подходящ начин срещу известни уязвимости с отворен код, които оставят потребителите, бизнеса и правителствата отворени за хакерски атаки с потенциално катастрофални резултати.

Забележка: Google рутинно сканира приложения за злонамерен софтуер, но не контролира уязвимостите, които биха могли да им позволят.

„Ние искаме да създадем много по-голяма информираност за необходимостта от бързо и усърдно актуализиране на уязвимите места. Необходимо е да се изтласкат актуализациите и да се уведомят потребителите.“ Индустрията трябва да се включи в определянето на най-добрите практики с някакъв вид разпознаваем печат за безопасност оценка или сертифициране „, каза Pociask.

Производител на приложения или потребителски проблем?

Настоящият отчет на ACI, заедно с други, които предоставят сходни указания за уязвимостите на софтуера, се отнася до област, която изглежда, че много потребители на приложения и доставчици игнорират. Тази ситуация се изостря от хакерите, които откриват нови начини да подмамят потребителите да им позволят достъп до техните устройства и мрежи.

„Поставянето като истински приложения на акредитирана платформа като Google Play Магазин прави този вид злонамерена дейност още по-вредно за нищо неподозиращите потребители“, каза Тимур Ковалев, главен технологичен директор в Untangle .

От съществено значение е потребителите на приложения да знаят, че хакерите не се интересуват кой става следващата им жертва, каза той пред LinuxInsider.

Всеки има данни и лична информация, която може да бъде откраднато и продадено. Потребителите на приложения трябва да разберат, че докато хакерите искат да получат достъп и да контролират устройствата си, повечето от тях също ще се опитат да проникнат в мрежа, към която се свързва устройството. След като се случи това, всяко устройство, свързано с тази мрежа, е изложено на риск, обясни Ковалев.

Дори ако производителят на приложения е разумен за сигурността и спазва най-добрите практики, други уязвими приложения или злонамерен софтуер на устройства с Android могат да изложат потребителите на риск, отбелязва Сам Баккен, мениджър продуктов маркетинг в OneSpan .

„Производителите на приложения трябва да защитят времето за изпълнение на приложенията си от външни заплахи, над които нямат контрол, като злонамерен софтуер или други доброкачествени, но уязвими приложения“, каза той пред LinuxInsider.

Част от Проблемния цикъл

Проблемът с неподлежащите на изкривяване уязвимости прави текущото състояние на злонамерени приложения по-обезпокоително. Злонамерените приложения са постоянен проблем за Google Play Магазин, каза Крис Моралес, ръководител на анализа на сигурността във Вектра .

За разлика от Apple, Google не поддържа строг контрол върху приложенията, разработени с комплекта за разработка на софтуер за Android.

„Google използвал за извършване на основни проверки, за да потвърди, че дадено приложение е безопасно за разпространение в Google Play Магазин, но мащаба на приложенията, които съществуват днес и се изпращат ежедневно, означава, че е станало много трудно за Google да се справи“, казва Моралес каза LinuxInsider.

Google въведе нови модели и техники за машинно обучение през изминалата година, посочи той, в опит да подобри способността на компанията да открива злоупотреби – като представяне под чужда самоличност, неподходящо съдържание или злонамерен софтуер.

„Докато тези техники се оказаха ефективни при намаляването на общия брой злонамерени приложения в Google Play Магазин, винаги ще има уязвимости в кода на приложенията, които получават чрез валидирането на Google“, отбеляза Моралес.

Разработчиците все още трябва да решат проблема с злонамерени или уязвими приложения, които могат да бъдат експлоатирани след инсталирането им на мобилно устройство. Това ще се осъществява чрез прилагане на модели и техники за машинно обучение на устройството и на мрежата. Това би помогнало да се идентифицират злонамерените поведения, които биха възникнали след като вече е инсталирано приложение и са заобиколени проверките за сигурност на Google, обясни Моралес.

Време е за Големия брат?

Налагането на правителствени агенции да наложат решения може да доведе до допълнителни проблеми. Вместо решение за едно цяло, ACI’s Pociask предпочита система от приоритети.

„Да видим дали индустрията може да излезе с нещо, преди да бъдат наложени правителствени разпоредби. Получаването на реакция на коляното в момента ще бъде погрешно нещо, което трябва да направите, за да наложите решение“, предупреди той.

Все пак персоналните устройства са отговорност на потребителя. Потребителите трябва да поемат по-голяма отчетност по отношение на това, какви приложения позволяват на устройствата си, настоява Ковалев от „Унтангъл“.

„Правителството намеса по това време вероятно не е необходимо, тъй като и потребителите, и Google могат да предприемат допълнителни действия, за да се предпазят от злонамерени приложения“, каза той.

Има рамки

Справянето с неприкосновените приложения за Android може да не се нуждае от огромни усилия, за да преосмисли колелото. Вече са налице две потенциални изходни точки, според Bakken от OneSpan.

Един от тях е Националният институт по стандарти и технологии на САЩ или NIST. Тя има насоки за проверка на мобилни приложения, които предвиждат процес, гарантиращ, че мобилните приложения отговарят на изискванията за мобилна сигурност на организацията.

„Това може да помогне на едно предприятие, например, да запази някои от уязвимите мобилни приложения извън тяхната среда, но въвеждането на такава програма не е малък подвиг. Това също е просто насока в този момент“, каза Баккен.

Другата отправна точка би могъл да бъде Съветът за изпити на Федералните институции, или FFIEC, който дава указания на проверяващите да оценят управлението на финансовите институции от мобилни финансови услуги. Тя също така предоставя някои гаранции, които институцията трябва да прилага, за да осигури мобилните финансови услуги, които предлагат, включително мобилните приложения.

„В крайна сметка ефективността на всяка държавна намеса зависи от привеждането в действие. Вероятно всяка интервенция ще се съсредоточи върху конкретна индустрия или индустрии, което означава, че не всички жанрове на мобилните приложения ще бъдат в обхвата“, каза Баккен. „Това означава, че разработчиците на някои мобилни приложения за потребители няма да имат непременно стимул да си осигуряват приложенията си.“

Какво трябва да се случи?

Едно основно решение е фокусирането върху платформата на Google Play. Присъединяването към платформата е ясно, според Ковалев. Разработчиците изпълняват четири основни стъпки и заплащат такса.

След като се присъединиха, разработчиците могат да качват приложенията си. Google ги обработва чрез основна проверка на кода. Често злонамерените приложения не изглеждат злонамерени, тъй като са програмирани със закъснение за зловреден код, който да бъде изпълнен, отбеляза той.

„За да се борим срещу тези злонамерени приложения, Google започна да прилага по-добри техники за проверка – като изучаването на AI и предоставянето на награди на професионалисти от бяла шапка, които преследват тези повърхностни злонамерени приложения“, каза Ковалев.

Макар че тези техники помогнаха да се открият злонамерени приложения, приложенията трябва да бъдат проверени по-задълбочено, преди да бъдат обществено достъпни за нищо неподозиращите потребители, подчерта той.

Крайното решение

Най-доброто решение за счупени приложения за Android се носи от самите производители на приложения, каза Bakken от OneSpan. Те са в най-добра позиция да водят таксата.

Той предложи този списък за разработчици на мобилни приложения:

  • Направете моделиране на заплахите и включете сигурност в изискванията на продуктите.
  • Предоставете сигурно обучение за код за разработчиците на Android.
  • Изпробват тестовете за сигурност на приложенията си редовно като част от цикъла на разработка.
  • Отстранете откритите уязвимости, докато отиват.
  • Изпратете приложенията си за тестване за проникване преди освобождаването.

„И накрая, те трябва активно да укрепят приложението си с технология за екраниране на приложения, която включва защита по време на работа“, каза Бакен, „така че самото приложение е защитено, дори и в несигурни и потенциално несигурни мобилни среди, за да смекчи външните заплахи от злонамерен софтуер други уязвими приложения. “


Джак М. Жермен е репортер на ECT News Network от 2003 г. Основните му области на дейност са корпоративните ИТ, Linux и технологиите с отворен код. Той е написал редица прегледи на Linux дистрибуции и друг софтуер с отворен код. Имейл Джак.

http://www.technewsworld.com/story/Android-Apps-Riskier-Than-Ever-Report-85563.html

2018-09-13 01:03:07