搜索
Search
Search
Endela Electronics(Shenzhen)Co.,Ltd.
/
/
/
报告显示:绝大多数应用程序包含具有已知安全漏洞的开源组件

新闻中心

资讯分类

联系我们

安登利电子(深圳)有限公司

电话: + 86 - 755 - 8259 8974

传真: + 86 - 755 - 8524 0865

电子邮件: wade@endela.cn

http://www.hkendela.com

地址:深圳市宝安区松岗楼岗蓝天科技园A5座

报告显示:绝大多数应用程序包含具有已知安全漏洞的开源组件

  • 分类:行业新闻
  • 作者:
  • 来源:http://www.cena.com.cn/ia/20210420/111541.html
  • 发布时间:2021-04-25 17:04
  • 访问量:

报告显示:绝大多数应用程序包含具有已知安全漏洞的开源组件

详情

《流行病中的安全隐患:移动应用安全状况》报告最近被释放。该报告由 Synopsys 网络研究中心 (CyRC) 制作,审查了 2021 年第一季度对 Google Play 商店中 3,335 个最受欢迎的 Android 移动应用程序进行的研究结果。报告显示,绝大多数应用程序( 63%) 包含具有已知安全漏洞的开源组件,并强调广泛存在的安全风险,包括应用代码中暴露的敏感数据和过度使用移动设备权限。

 

报告重点关注了18个流行的移动应用类别,其中一些在疫情期间爆发了,包括商业、教育、健康和健身。这些应用程序在 Google Play 商店下载排名或畅销排名中。尽管安全分析结果因应用类别而异,但在所有 18 个类别中,至少有三分之一的应用包含已知安全漏洞。

 

新思软件质量与安全部高级安全架构师杨国梁告诉记者,在分析了3000多个应用后,他发现存在三个方面的潜在安全风险:第一是开源组件。安全漏洞,这是一个比较基础的层面,会因为这些安全漏洞,或者一些被攻击的情况,以及可能跟我们个人或者个人感觉更相关的那些,会造成一些数据泄露,就像刚才说的。如果我们去过那里,我们会经常面对 APP 并过度征求您的许可。例如,如果与地理位置完全无关,它会询问您的地理位置信息,例如一些与您的电话完全无关的应用程序。 ,他还会检查你的电话簿等。这也是一个潜在的安全问题。二是敏感信息泄露。在这些应用程序中,可能不仅是用户的敏感信息,还有这些应用程序的制造商。它可能会错误地在这些应用程序中留下一些加密的密钥对。 APP包展开。如果这些被黑客利用,它们将直接对个人和制造商构成威胁。三是对权威的过度要求。

 

具体来说,移动应用程序中的开源漏洞非常普遍。 在分析的 3,335 个应用程序中,63% 包含至少具有一个已知漏洞的开源组件。易受攻击的应用程序平均包含 39 个漏洞。 CyRC 总共发现了 3,000 多个独特漏洞,这些漏洞出现的次数超过 82,000 次。

 

已知漏洞可以解决。 虽然这项研究中发现的漏洞数量令人生畏,但更令人惊讶的是,检测到的漏洞中有 94% 都有公开记录的修复程序,这意味着可以使用安全补丁或更新以及更多安全版本的开源组件.此外,73% 的检测到的漏洞至少在两年前首次向公众披露,表明应用程序的开发人员没有考虑构建应用程序所用组件的安全性。

 

深入分析高危漏洞。 更彻底的分析表明,CyRC 认为近一半 (43%) 的漏洞是高风险漏洞,因为这些漏洞已被积极利用或与记录的概念验证 (PoC) 漏洞利用相关。不到 5% 的漏洞与漏洞利用或 PoC 漏洞利用相关,并且没有可用的修复程序。 1% 的漏洞被归类为远程代码执行 (RCE) 漏洞,许多人认为这是最严重的漏洞。 0.64% 的漏洞被归类为 RCE 漏洞,与主动攻击或 PoC 攻击相关。

 

信息泄露。 当开发者在应用程序的源代码或配置文件中无意泄露敏感或个人数据时,这些信息很可能被恶意攻击者用来发起后续攻击。 CyRC 发现了数以万计的信息泄漏实例,并且暴露了从私钥和令牌到电子邮件和 IP 地址的潜在敏感信息。

 

过度使用移动设备权限。 移动应用程序通常需要访问移动设备中的某些功能或数据才能有效运行。然而,一些应用程序草率或秘密地要求访问权限远远超出必要。 CyRC 分析的移动应用程序平均需要 18 个设备权限,包括平均 4.5 个敏感权限或需要多次访问个人数据的权限,平均 3 个被归类为“第三方应用程序不可用”。由 Google 使用 &rdqu;允许。下载量超过一百万的应用程序需要 11 个权限。这些权限被归类为“危险保护级别”。由谷歌。另一个下载量超过500万的应用总共需要56个权限,其中31个被谷歌归类为“危险保护级别”;第三方应用不允许的权限或签名权限。

 

比较应用程序类别。 在 18 个类别中的 6 个类别中,至少 80% 的应用程序包含已知漏洞,包括游戏、银行、预算和支付应用程序。生活方式和健康与健身类别在易受攻击的应用程序中所占的比例最低,为 36%。银行、支付和预算类别在移动设备所需的平均权限数方面也位居前三,远高于18个类别的平均值。游戏、教具、教育和生活方式应用需要的平均权限数最低。

 

关键词:

如何解决工业和信息化领域人才供需矛盾

如何解决工业和信息化领域人才供需矛盾

人才是产业发展和技术创新的第一要素。高质量的产业发展必须与高素质的人才相匹配。近日,在工业和信息化部人才交流中心主办的首届工业人才创新发展论坛暨工业和信息化重点领域人才需求预测系列报告中,公共管理学院和国务院人力资源发展研究中心主任李建伟特别强调了人才在工业和信息产业发展中的重要作用。行业的发展离不开一支高素质的人才队伍的支持。只有人才强,制造业才能强,信息产业才能蓬勃发展。工业和信息产业发展的黄金时代已经悄然开启。我国如何解决工业和信息化领域人才供需问题?
三大运营商2020年年报出炉,未来5G建设投资将持续增加

三大运营商2020年年报出炉,未来5G建设投资将持续增加

3月25日,中国移动公布了2020年度业绩报告。 目前,中国移动、中国电信、中国联通均发布了2020年年报。 过去一年,三大运营商总收入达到14655亿元,净利润1412亿元,均实现正增长。
白皮书指出区块链将成为隐私计算产品不可或缺的选择

白皮书指出区块链将成为隐私计算产品不可或缺的选择

隐私计算是数据融合应用过程中保障数据安全合规的关键技术路径。 其商业模式、应用场景、技术变革、产业趋势、法律问题等正在成为当前的政、产、学、研、应用关注的焦点。 热点。 近日,腾讯发布了《腾讯隐私计算2021白皮书》,从隐私计算的发展背景、技术体系、关键应用行业和场景、数据安全合规、未来发展前景等多角度探讨隐私计算。

友情链接: 工业稳压器 交流稳压器 感应稳压器

在线留言

留言应用名称:
客户留言
描述:

Copyright © 2021 安登利电子(深圳)有限公司  版权所有  粤ICP备11024848号   网站建设:中企动力 龙岗