Специалисты по информационной безопасности (ИБ) из компании Synopsys проанализировали 3335 самых скачиваемых мобильных приложений для Android в 18 категориях, включая игры, финансовые утилиты и другие. Выяснилось, что в 98% программ используются модули на основе открытого исходного кода, то есть написанного кем-то раньше: в среднем по 20 компонентов на приложение.
Также из исследования следует, что в 63% приложений содержится как минимум один компонент на основе открытого исходного кода с уязвимостью. А в среднем в каждом приложении с потенциально опасным кодом насчитывается 39 проблем с ИБ. Всего же компания обнаружила 3137 уникальных уязвимостей.
Подавляющее большинство найденных несовершенств (94%) известны ИБ-специалистам, и для их решения можно использовать готовые исправления. Около 5% найденных брешей не имеют на сегодняшний день исправлений. Почти 1% обнаруженных уязвимостей можно активировать удаленно.
Углубленный анализ показал, что около 46% несовершенств относятся к группе «высокого риска». Они либо использовались злоумышленниками, либо имеют эксплойты (программы для использования уязвимостей).
В заключение исследователи подчеркнули, что все найденные уязвимости потенциально могут спровоцировать утечку конфиденциальных данных. Например, адресов посещаемых сайтов, IP-адресов, адресов электронной почты, а также более чувствительной информации вроде паролей.
Директор департамента корпоративного бизнеса ESET Антон Пономарев рассказал «Известиям», что цифры, выдвинутые компанией Synopsys, близки к действительности и похожи на результаты исследований их компании.
Руководитель группы исследований безопасности мобильных приложений Positive Technologies Николай Анисеня объясняет популярность открытого исходного кода тем, что разработка приложений на его основе обходится дешевле, проходит быстрее и позволяет избежать типовых ошибок при программировании.
Наличие же уязвимостей в продуктах на основе такого кода обусловлено тем, что в некоторых случаях разработчики осознанно идут на риски и экономят на защите.
— Полный комплекс мер может стоить больших денег, и какие-то риски разработчики неизбежно принимают. Зрелые компании, у которых большие обороты и много пользователей, меры безопасности принимают. Но стартапы считают куда более важным фокус на функциях и монетизации, но никак не на безопасности своих пользователей, — рассказал Николай Анисеня.
Руководитель департамента аудита информационной безопасности Infosecurity Сергей Ненахов придерживается схожего мнения. Он считает, что разработчики мобильных приложений редко проверяют используемый код на наличие уязвимостей из соображений экономии времени и денег.
— Как правило, разработчики мобильных игр и приложений в первую очередь стараются как можно быстрее выпустить продукт на рынок и начать зарабатывать, пока их идею не реализовал кто-то еще. Проработка и реализация безопасности на начальном этапе сильно увеличивают сроки выхода продукта, — пояснил эксперт.
Несмотря на то что в исследовании не фигурируют приложения для iOS, проблемы с уязвимостями в открытом исходном коде присутствуют и на этой платформе, считают эксперты. А некоторые не исключают, что на iOS ситуация обстоит даже хуже, чем на Android.
— iOS — более закрытая для разработчиков платформа, где приложения имеют гораздо меньше возможностей, чем на Android. Разработчики надеются на защищенность самой операционной системы, порой не уделяя должного внимания базовым принципам построения безопасных приложений, — сообщил исследователь мобильных угроз в «Лаборатории Касперского» Виктор Чебышев.
Другого мнения придерживается руководитель департамента аудита и консалтинга Group-IB Павел Супрунюк. По его словам, дела с iOS обстоят лучше, чем с Android. Ведь платформа Apple изначально проектировалась как более защищенная и более требовательная к разработчикам.
— Разработчикам давалось меньше свободы и больше четких указаний, как и что делать. Отсюда было меньше вольностей и возможностей ошибиться, — сказал специалист.
Эксперт ESET говорит, что по итогам 2020 года проблема безопасности мобильных приложений стала актуальнее, чем раньше. Ведь в период пандемии их аудитория заметно изменилась и стала привлекательнее для злоумышленников.
— До пандемии в топе использования приложений были игры, а 2020 год подтолкнул вперед бизнес-приложения, уязвимости в которых могут нанести гораздо больший вред. Сильнее всего настораживает то, что самый высокий процент риска как раз в банковских и платежных приложениях, — поделился мнением Антон Пономарев.
По его словам, мобильные приложения хранят в себе огромное количество личной информации, в том числе данные банковских карт, учетные записи, пароли, ключи шифрования. И эти данные, считает эксперт, становится относительно просто собрать, когда в приложениях есть уязвимости.
— Всего специалисты выделяют 10 типов уязвимостей, и самая главная из них — качество кода. Некачественный код может привести в том числе и к упрощению сбора информации, — объяснил Антон Пономарев.
В свою очередь, Николай Анисеня говорит, что наличие компонента в приложении на основе открытого исходного кода с уязвимостью не равно возможности использования этой уязвимости. Компоненты могут быть задействованы приложением не полностью. Следовательно, уязвимость в коде неиспользуемой части компонента становится недосягаемой для злоумышленника.
Впрочем, специалист отмечает, что пассивная часть компонента может быть активирована разработчиками позже — например, после обновления приложения.
— Если учесть, что не всегда уязвимый код является активным и нередко для эксплуатации уязвимости существуют ограничения, то в целом паниковать не стоит. Но подстраховаться базовыми мерами безопасности стоит: как минимум следует настроить двухфакторную аутентификацию в приложениях, где она доступна, — посоветовал Николай Анисеня.
Эксперт «Лаборатории Касперского» добавил, что степень угрозы зависит от категории приложения с проблемным кодом. Например, уязвимость в популярном мессенджере — это крайне рискованная ситуация, а уязвимость в условном приложении «Фонарик» — вряд ли.
— Конечно, факт тревожный и требует оперативной реакции со стороны разработчиков, а раз существуют патчи, значит, всё можно достаточно быстро исправить. Вопрос в том, как давно было проведено исследование и проинформировали ли о нем разработчиков уязвимых приложений, — заключил Виктор Чебышев.
На момент публикации «Известия» не получили комментарий компании Synopsys.
Роман Кильдюшкин