Ứng dụng Android tiềm ẩn nhiều nguy cơ cao hơn bao giờ hết ???

Việc sử dụng rộng rãi mã nguồn mở chưa được vá trong các ứng dụng Android phổ biến nhất do Google Play phân phối đã gây ra các lỗ hổng bảo mật đáng kể, theo báo cáo của Viện tiêu dùng Mỹ công bố hôm thứ Tư.

Theo báo cáo , có ba mươi hai phần trăm – hoặc 105 ứng dụng trong số 330 ứng dụng phổ biến nhất trong 16 loại được lấy mẫu – tính trung bình 19 lỗ hổng trên mỗi ứng dụng, theo báo cáo , có tiêu đề “Ứng dụng phổ biến an toàn như thế nào? “

Các nhà nghiên cứu đã tìm thấy các lỗ hổng nghiêm trọng trong nhiều ứng dụng phổ biến, bao gồm một số ứng dụng ngân hàng, mua vé sự kiện, thể thao và du lịch là phổ biến nhất.

Phân phối lỗ hổng dựa trên mức độ rủi ro bảo mật

ACI sẽ trình bày báo cáo tại Washington DC vào thứ Tư, tại một hội đồng công khai có sự tham dự của các thành viên ủy ban quốc hội và nhân viên. Phiên này mở cửa cho công chúng.

“Có 40.000 lỗ hổng nguồn mở được biết đến trong 17 năm qua và một phần ba trong số đó đã đến vào năm ngoái”, Pociask của ACI nói với LinuxInsider. Đó là một nguyên nhân đáng lo ngại, vì 90 phần trăm của tất cả các phần mềm đang sử dụng ngày nay có chứa các thành phần phần mềm nguồn mở.

Thông số báo cáo

Theo báo cáo, các doanh nghiệp đấu tranh để cung cấp bảo vệ đầy đủ cho thông tin cá nhân và quyền riêng tư của người tiêu dùng. Chính phủ ở California và Liên minh châu Âu đã đưa ra luật bảo mật người tiêu dùng tích cực hơn. Người Mỹ đã trở nên ý thức hơn về việc dễ bị đánh cắp dữ liệu của họ.

Báo cáo lưu ý, một thiết bị dường như không thể thiếu mà hầu hết người tiêu dùng và doanh nghiệp sử dụng là điện thoại thông minh. Tuy nhiên, các ứng dụng trên đó có thể là một trong những rủi ro bảo mật dữ liệu và quyền riêng tư nghiêm trọng nhất.

Các nhà nghiên cứu đã thử nghiệm 330 ứng dụng Android phổ biến nhất trên Google Play Store trong tuần đầu tiên vào tháng 8. Nhóm nghiên cứu của ACI đã sử dụng máy quét mã nhị phân – Clarity, được phát triển bởi Insignary – để kiểm tra các tệp APK.

Thay vì tập trung vào việc lấy mẫu ngẫu nhiên các ứng dụng Google Play Store, các nhà nghiên cứu ACI đã báo cáo về các ứng dụng lớn nhất hoặc phổ biến nhất trong các danh mục. Hầu hết các ứng dụng được phân phối trong Hoa Kỳ. Các nhà nghiên cứu đã chọn 10 ứng dụng hàng đầu trong mỗi 33 loại trong cửa hàng Play.

Kết quả

Theo báo cáo, kết quả được xếp hạng là điểm số dễ bị tổn thương nghiêm trọng, cao, trung bình và thấp. Trong số 330 ứng dụng được thử nghiệm, 105 – hoặc 32 phần trăm – có lỗ hổng. Trong số những người được xác định, 43 phần trăm là nguy cơ nghiêm trọng hoặc nguy cơ cao, dựa trên cơ sở dữ liệu dễ bị tổn thương quốc gia.

Pociask hỏi ? : “Chúng tôi dựa trên nghiên cứu của chúng tôi về các ứng dụng phổ biến nhất trong mỗi danh mục. Ai biết được các ứng dụng chưa được kiểm tra này tệ đến mức nào về các lỗ hổng?”.

Trong các ứng dụng được lấy mẫu, 1.978 lỗ hổng được tìm thấy ở tất cả các mức độ nghiêm trọng và 43% các lỗ hổng được phát hiện được coi là có nguy cơ cao hoặc nguy kịch. Khoảng 19 lỗ hổng tồn tại trên mỗi ứng dụng.

Báo cáo cung cấp tên của một số ứng dụng làm ví dụ về các cách khác nhau mà các nhà cung cấp xử lý các lỗ hổng. Các lỗ hổng nghiêm trọng đã được tìm thấy trong nhiều ứng dụng phổ biến, bao gồm một số ứng dụng ngân hàng, mua vé sự kiện, thể thao và du lịch phổ biến nhất.

Ví dụ, Bank of America có 34 lỗ hổng nghiêm trọng và Wells Fargo có 35 lỗ hổng nghiêm trọng. Vivid Seats có 19 lỗ hổng nghiêm trọng và năm lỗ hổng cao.

Một vài tuần sau đó, các nhà nghiên cứu đã kiểm tra lại một số ứng dụng ban đầu đã thử nghiệm cách ra khỏi phạm vi. Họ thấy rằng hai ứng dụng ngân hàng đã được dọn sạch với các bản cập nhật. Tuy nhiên, ứng dụng Vivid Seats vẫn có lỗ hổng, Pociask nói.

Giải pháp cuối cùng

Bản sửa lỗi cuối cùng cho các ứng dụng Android bị hỏng nằm ở chính các nhà sản xuất ứng dụng, BakSp của OneSpan nói. Họ đang ở vị trí tốt nhất để dẫn đầu về phí.

Ông đưa ra danh sách kiểm tra này cho các nhà phát triển ứng dụng di động:

  • Làm mô hình mối đe dọa và bao gồm bảo mật trong các yêu cầu sản phẩm.
  • Cung cấp đào tạo mã an toàn cho các nhà phát triển Android.
  • Thực hiện kiểm tra bảo mật các ứng dụng của họ một cách thường xuyên như là một phần của chu trình phát triển.
  • Sửa các lỗ hổng được xác định khi họ đi.
  • Gửi ứng dụng của họ để kiểm tra thâm nhập trước khi phát hành.

“Và cuối cùng, họ nên chủ động tăng cường ứng dụng của mình bằng công nghệ che chắn ứng dụng bao gồm bảo vệ thời gian chạy”, Baken nói, “để ứng dụng được bảo vệ, ngay cả trong môi trường di động không đáng tin cậy và có khả năng không an toàn, để giảm thiểu các mối đe dọa bên ngoài từ phần mềm độc hại và các ứng dụng dễ bị tổn thương khác. ”

 

Leave a Reply

Your email address will not be published. Required fields are marked *