AplikacjeCyberbezpieczeństwo
Nawet 39 luk w zabezpieczeniach w jednej aplikacji mobilnej na Androida
Specjaliści Synopsys Cybersecurity Research Center (CyRC) przygotowali raport „Zagrożenie w pandemii: stan bezpieczeństwa aplikacji mobilnych”, w którym przeanalizowali 3335 najpopularniejszych aplikacji w sklepie Google Play. Wyniki ich badań, przedstawione w trzech obszarach: luki w zabezpieczeniach aplikacji open source, wyciek poufnych informacji oraz nadmierne wykorzystywanie uprawnień urządzenia mobilnego, stanowią poważne ostrzeżenie zarówno dla użytkowników smartfonów, jak i twórców oprogramowania.
- Nawet 98% analizowanych przez CyRC programów zawierało komponenty open source.
- Niestety, 63% z nich posiadało znane luki w zabezpieczeniach, zaś na jedną aplikację przypadało średnio 39 luk.
- Co istotne, 44% wykrytych podatności wiązało się z wysokim ryzykiem ze względu na dostępność exploita.
- Badanie CyRC wykazało tysiące fragmentów poufnych informacji, które pozostały w aplikacjach. W tym 2224 haseł, tokenów lub kluczy, 10863 adresów e-mail oraz 392 795 adresów IP i adresów URL.
- Eksperci przeanalizowali także uprawnienia mobilne w trzech kategoriach: normalne, wrażliwe i takie, których nie mogą używać aplikacje innych firm. Okazało się, że średnia uprawnień na jedną aplikację wynosiła 18.
Oprogramowanie typu open source bardzo szybko zyskuje na popularności, co dotyczy również aplikacji mobilnych. Okazuje się, że nawet 98% analizowanych przez CyRC programów zawierało jego komponenty. Niestety, problem polega na tym, że 63% z nich posiadało znane luki w zabezpieczeniach, zaś na jedną aplikację przypadało średnio 39 luk. Co istotne, 44% wykrytych podatności wiązało się z wysokim ryzykiem ze względu na dostępność exploita.
“Biorąc pod uwagę, że te aplikacje zostały pobrane miliony razy i zawierają dane milionów konsumentów, zagrożenie bezpieczeństwa jest wysokie. Pamiętamy lukę typu open source w Apache Struts, która była główną przyczyną naruszenia w Equifax w 2017 roku – z jej powodu ujawniono dane osobowe 147 milionów klientów. To poważne zagrożenie zarówno w firmach, jak i wśród konsumentów” – komentuje Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Potencjalne przypadki wycieku informacji
Przypomnijmy, że wyciek informacji ma miejsce, kiedy programiści przypadkowo zostawiają dane osobowe lub poufne w kodzie źródłowym lub plikach konfiguracyjnych aplikacji. Badanie CyRC wykazało tysiące fragmentów poufnych informacji, które pozostały w aplikacjach. W tym 2224 haseł, tokenów lub kluczy, 10863 adresów e-mail oraz 392 795 adresów IP i adresów URL.
Chociaż każdy z nich może już sam w sobie zaszkodzić organizacji, razem mogą stanowić dokładnie te informacje, których atakujący potrzebuje, aby uzyskać dostęp, wskazują specjaliści cyberbezpieczeństwa. I dodają, że tokeny, klucze oraz hasła używane w połączeniu z adresami e-mail, adresami IP w systemach wewnętrznych mogą zapewniać dostęp do serwerów, systemów lub innych wrażliwych właściwości.
Nadmierne uprawnienia mobilne
Eksperci CyRC przeanalizowali także uprawnienia w trzech kategoriach: normalne, wrażliwe i takie, których nie mogą używać aplikacje innych firm. Okazało się, że średnia uprawnień na jedną aplikację wynosiła 18. I tak, autorzy raportu uznali 56% uprawnień za normalne, 26% zakwalifikowali do kategorii wrażliwe, zaś w przypadku 18% stwierdzili, że nie nadają się do użytku przez aplikacje innych firm. W kilku skrajnych wypadkach niektóre aplikacje mobilne wymagały nawet więcej niż 50 uprawnień. W jednym z przykładów, apka zdrowia i fitness z ponad 5 milionami pobrań, zażądała pozwolenia na uruchomienie na poziomie użytkownika root, co dawało jej dostęp do całego telefonu. Nie tylko jest to niepotrzebny poziom dostępu, ale może on mieć poważne konsekwencje dla konsumentów – podkreślają twórcy raportu.
Podsumowując informacje zawarte w badaniu, specjaliści CyRC wskazują, że użytkownicy muszą zrozumieć, jaki poziom dostępu zapewniają aplikacji, aby zagwarantować bezpieczeństwo swoich danych. Z kolei programiści aplikacji muszą też znać uprawnienia, o które proszą, ponieważ ostatecznie to oni są odpowiedzialni za konsekwencje potencjalnego naruszenia.