历史上的今天
今天是:2025年04月15日(星期二)
2021年04月15日 | 新思科技:移动应用程序的开源漏洞非常普遍
2021-04-15 来源:EEWORLD
疫情期间广受欢迎的应用程序存在重大安全隐患
现在,大多数人更依赖于移动应用程序,无论是在线购物还是远程办公。这对确保开源生态系统的安全性提出了更大的挑战。
新思科技(Synopsys, Inc.,)近日宣布发布了《疫情中的安全隐患:移动应用程序安全现状》报告。报告也指出,移动应用程序的开源漏洞非常普遍。该报告由新思科技网络研究中心(CyRC)制作,审查了对2021年第一季度在Google Play商店中最受欢迎的3,335个安卓移动应用程序进行的研究结果。报告显示绝大多数应用程序(63%)包含具有已知安全漏洞的开源组件,并且强调了普遍存在的安全隐患,包括暴露在应用程序代码中的敏感数据以及过度使用的移动设备权限。
该研究采用了新思科技Black Duck Binary Analysis1,重点研究了18种受欢迎的移动应用程序类别,其中一些在疫情期间都呈爆炸式的增长,包括商业、教育和健康与健身。这些应用程序都是在Google Play商店下载量排行榜或者最畅销排行榜中。尽管安全分析结果因应用程序类别的不同而不同,但是在所有的18种类别中,至少三分之一的应用程序包含已知的安全漏洞。
新思科技软件质量与安全部门总经理Jason Schmitt表示:“就像其他的任何一个软件一样,移动应用程序也无法幸免于存在安全缺陷和漏洞,这可能使消费者和企业面临风险。现今,疫情迫使我们大多数人(包括儿童、学生和大部分工作人员)适应日益依赖于移动的远程生活方式时,移动应用程序的安全性尤为重要。在这些变化的背景下,该报告强调了对移动应用生态系统的关键需求,以共同提高开发和维护安全软件的标准。”
移动应用程序的开源漏洞非常普遍。在分析的3,335个应用程序中,63%包含具有至少一个已知漏洞的开源组件。具有漏洞的应用程序包含平均39个漏洞。CyRC总共发现了3,000多个独特漏洞,并且这些漏洞出现了82,000多次。
已知漏洞是可以解决的。尽管这项研究中发现的漏洞数量令人生畏,但更令人惊讶的是,检测到的漏洞中有94%具有公开记录的修复程序,这意味着安全补丁或更新以及更多的开源组件安全版本可供使用。除此之外,检测到的漏洞中有73%已经至少在两年前首次向公众披露,这表明应用程序的开发人员没有考虑构建应用程序所使用组件的安全性。
深入分析高风险漏洞。一项更彻底的分析表明,CyRC认为将近一半(43%)的漏洞属于高风险漏洞,因为这些漏洞已经被主动利用或者与已记录的概念验证(PoC)漏洞利用程序有关。仅有不到5%的漏洞与漏洞利用或者PoC漏洞利用程序有关,并且没有可用的修复程序。1%的漏洞被归类为远程代码执行(RCE)漏洞,许多人认为这是最严重的漏洞。0.64%的漏洞被归类为RCE漏洞并且与主动漏洞利用或PoC漏洞利用程序有关。
信息泄露。当开发人员无意间在应用程序的源代码或配置文件中公开敏感或个人数据时,这些信息很可能被恶意攻击者利用来发起后续的攻击。CyRC发现了数以万计的信息泄露实例,从私人密钥和令牌到邮件和IP地址的潜在敏感信息都被暴露出来。
过度使用移动设备权限。移动应用程序通常需要访问你的移动设备中的某些功能或数据才能有效运行。然而,某些应用程序草率地或者暗中要求的访问权限远远超出了必要性。CyRC分析的移动应用程序平均需要18个设备权限,其中包括平均4.5个敏感权限或者需要对个人数据进行多次访问的权限,以及平均3个被Google归类为“不提供给第三方应用程序使用”的权限。一个下载次数超过一百万的应用程序需要11个权限,这些权限被Google归类为“危险防护级”。另一个下载次数超过五百万的应用程序总共需要56个权限,其中31个被Google归类为“危险防护级”权限或是不允许第三方应用程序使用的签名权限。
比较应用程序类别。在18个类别中的6个类别里面,至少有80%的应用程序包含已知漏洞,包括游戏、银行、预算和支付应用程序。生活方式和健康与健身类别在易受攻击的应用程序中所占的比例最低,为36%。银行、支付和预算类别在移动设备所需的平均权限数量也排在前三,远高于18个类别的平均值。游戏、教辅类工具、教育和生活方式应用程序所要求的平均权限数量最低。
史海拾趣
|
数模转换器(DAC)是非常通用的器件,其能力远远超出电平设置的范畴,而且延伸到通信、视频、音频、电位计和替代可变电阻器、信号合成以及许多其它应用。 DAC的一些技术指标 DAC是最基本最重要的混合信号构建模块,其输出可以是单端 ...… 查看全部问答> |
|
我有个四个一体数码管,共阳极的。我想做一个0000-9999计数器,因为数码管是一体化的,a,b,c,d,e,f,dp七个脚都是共用的,所以只要1,2,3,4--a,b,c,d,e,f,dp任何一个脚都会显示四组字符,请问我应该怎么才能单独显示出1,a\\2,a\\3,a\\4,a。。。。我 ...… 查看全部问答> |
|
无线传感器网络标准ZigBee要有麻烦了。一家与无线传感器技术相竞争的公司最近推出了基于通用网络标准IP的产品。 基于IP:可与企业网相连 PhyNet就是这家名为Arch Rock的公司新推出的产品,同ZigBee一样,它也可 ...… 查看全部问答> |
|
replyreload += \',\' + 374033; 1、倒装(Flip chip) 1998年Lumileds公司封装出世界上第一个大功率LED(1W LUXOEN器件),使LED器件从以前的指示灯应用变成可以替代传统照明的新型固体光源,引发了人类历史上继白炽灯发明以来的又一场 ...… 查看全部问答> |
|
我用c#做了一个wince下的看图程序,每当打开一个大于1.5mb的图片时就出错,提示outofmemoryexception错误,而有些文章上介绍用SHloadImagefile但是为什么c# api中没有呢,大家有没有好的解决方法,如果c#中有那么他在那个动态库下呀,谢谢各位大哥 ...… 查看全部问答> |
|
所谓最简, 包括所有基本设置,基本文件------主要是包括maim() while1{}===========当然,在while1{}之前或者内部,添加程序,可以执行....哪位 有??… 查看全部问答> |
|
现场可编程门阵列(FPGA)是可以包括数千个典型的、可编程逻辑单元。一个由线和可编程开关的矩阵与单独的逻辑单元互连。典型的设计包括指定每个单元的简单逻辑功能和选择性地关闭互连矩阵中的开关。 FPGA主要用于原型IC系统。当 ...… 查看全部问答> |
|
本帖最后由 paulhyde 于 2014-9-15 04:10 编辑 用LM2576-ADJ做了一个电源,输出的电流竟然有5点几A,接入负载电流不变,为什么啊,高手帮忙解释一下啊!! 先谢啦。 … 查看全部问答> |