疫情中的安全隐患:移动应用程序安全现状

疫情中的安全隐患：移动应用程序安全现状 对新冠疫情期间最受欢迎的Android应用程序进行的安全分析 概述 Synopsys网络安全研究中心（CyRC）分析了3,000多个最受欢迎的Android应用，以评估新冠疫情爆发期间移动应用的安全状态。该研究针对18个类别中下载量最大、收入最高的应用程序，其中许多在疫情期间均呈现出爆炸式增长。该研究集中在移动应用安全性的三个核心领域： •漏洞：应用程序的开源组件中存在已知软件漏洞 •信息泄漏：应用程序代码中暴露的私钥、令牌和密码等敏感数据 •移动设备权限：要求过度访问移动设备数据和功能的应用程序 分析显示，大多数的应用中都包含具有已知安全漏洞的开源组件。分析还特别指出了其他普遍存在的安全问题，包括应用程序代码中大量的敏感数据潜在暴露以及过度的 移动设备权限的使用。 对消费者而言，该报告指出了一个令人震惊的事实：即使最受欢迎 的移动应用也无法幸免于安全和隐私方面的弱点，因此不应被默认为是可信的。对应用开发者而言，该报告强调了对安全软件开发实践以及更好的全面的 隐私和安全保护实践的迫切需求。 疫情期间最受欢迎的18类应用 程序，包括游戏、教育、银行业务以及健康与健身 • 每个应用程序平均39个漏洞 • 44%的漏洞被认为是高风险的 • 94%的漏洞已 有公开报道的修复程序/方案 • 73%的漏洞是两年前就已经首次披露 在应用代码中数千条敏感数据被暴露 移动设备权限的过度使用 分析了3,335个移动应用程序 63%的应用程序中包含已知安全漏洞 • 密码、令牌和密钥：2224 • 电子邮件地址：10863 • IP地址和URL:392795 • 普通权限：33,385 • 敏感权限：15,139 • 非第三方使用的权限：10,653 目录 疫情中的安全隐患：移动应用程序安全现状............................................................. 1 做什么：移动应用程序的针对性分析...................................................................... 3 如何做：Synopsys业界领先的Black Duck Binary Analysis ...................... .......... 3 结果：Synopsys发现了什么........................................................................ ... ....... 4 开源漏洞调查结果....................................................................................................................... 4 已知漏洞..................................................................................................................... .... ............... 4 按应用类别划分的调查结果 .......................................................................................................... 5 分析漏洞....................................................................................................................................... 6 借助《Black Duck安全公告》深入探究安全漏洞........................................................................ 7 有实际可利用风险的漏洞............................................................................................................. 8 具体的开源漏洞调查结果............................................................................................................. 9 信息泄漏调查结果 ........................................................................................................................ 10 移动权限调查结果........................................................................................................................ 11 总结 ....................................................................................................................... 15 | synopsys.com | 1 疫情中的安全隐患：移动应用程序安全现状 在这个充满挑战的时期，保持社交距离以及封锁带来的限制导致世界以令人瞩目的方式往线上转移，这也许会永久性地改变我们的工作、学习和交流互动的方式。社会快速适应了这种情况，开始在线上提供之前一直仅在线下可用的资源，从而导致愈发依赖移动应用程序开展日常活动的文化。 透过新冠疫情的镜头，Synopsys网络安全研究中心（CyRC）开始探索在这个日益由应用程序驱动的世界中，应用程序的 安全状况到底如何。该分析 主要围绕着两个关键问题展开：  最受欢迎的移动应用是否足够安全，或者它们是否最容易受到攻击？  在确定应用程序可访问的设备权限和数据时，应用开发人员是否会优先考虑安全性和隐私问题？ 无论您是移动应用程序的用户还是开发者，抑或既是用户又是开发者，您都必须了解当您将生活或业务从线下转移到线上时，所需承受的相对风险，这一点很重要。Synopsys软件组成分析（SCA）工具Black Duck® Binary Analysis可对最受欢迎的移动应用程序进行全面分析，以便您全方位了解在这个崭新、远程生活时代所面临的潜在风险、影响和危害。 “随着新冠疫情的爆发继续对世界产生影响，移动应用程序的下载、使用和营收在2020年第二季度均创下历史新高。根据应用商店 情报公司App Annie的最新数据，2020年第二季度，移动应用程序 的使用量同比增长了40%。”1 | synopsys.com | 2 CyRC分析了截至2021年第一季度Google Play商店中最受欢迎的3,335个免费和付费Android应用程序 。 扫描的应用程序数量（按类别） 每个应用程序平均的开源组件数量（按类别） | synopsys.com | 3 商业、健康与健身以及教育类应用的下载量分别比上一季度增长了115%、75%和50%。2 做什么：移动应用程序的针对性分析 为了考察移动应用程序安全性的“新冠病毒状态”，CyRC分析了截至2021年第一季度Google Play商店中最受欢迎的3,335个免费和付费Android应用。它们都是因疫情爆发而经历了显著增长的应用，涵盖教育、娱乐、游戏、健康与健身、餐饮、生产 限制和教辅工具等多个类别。 CyRC利用业界领先的专业知识、技术和资源来帮助分享软件安全知识与最佳实践。针对三个主要领域的潜在安全风险，CyRC团队使用Black Duck扫描并分析这些最受欢迎的应用程序： • 开源安全漏洞：您每天使用的应用程序的开源组件中是否隐藏着已知安全漏洞？ • 潜在的信息泄漏实例：应用开发人员是否无意间将密码、电子邮件地址或AWS和Google云密钥等敏感数据暴露在编译后的应用程序中？ • 移动权限：应用程序需要从设备中获得哪些权限？是否超出必要权限？或者说， 是否存在若使用不当将会破坏数据的权限？ 如何做：Synopsys业界领先的Black Duck Binary Analysis 为了进行可靠的调查，CyRC使用Black Duck工具的独特功能-Black Duck Binary Analysis分析了与每个应用程序关联的Android软件包中所包含的开源软件组件和其它内容。鉴于BlackDuck对应用程序的已编译的二进制文件（而不是源代码）进行分析，因此，它可以扫描几乎任何软件，从桌面和移动应用程序直到嵌入式系统固件。 Black Duck不仅能够 识别开源并将漏洞和许可证与其进行匹配，而且还能指出敏感信息的潜在风险，例如可能影响应用程序安全性信息泄漏和移动权限。 | synopsys.com | 3 | synopsys.com | 4 结果：Synopsys发现了什么 CyRC共分析了3,335个应用，发现了一些与这些应用程序的开发者、其公司和用户有关的值得注意的风险。无论您是用户还是开发者（抑或既是用户又是开发者），分析结果揭示了哪些因素会影响正在开发和使用的应用程序安全性。 开源漏洞调查结果 总体而言，被扫描应用程序中98%的应用程序有包含开源组件。这个数字与Synopsys的其它调查 研究相一致，再次证实 了大家一致认可的一个整体趋势：开源是当今几乎所有应用程序的基础。 只要积极主动地 管理和维护，开源本身不会带来风险。但这些分析结果显示，被扫描应用程序中63%的应用程序包含存在至少一个已知安全漏洞的开源软件组件，每个易受攻击的应用程序平均有39个漏洞。 虽然具体情况因应用程序类别而异，但却无一幸免。在所有 的18类应用程序中，至少有三分之一的应用程序包含具有已知安全漏洞的应用程序。 已知漏洞 在CyRC使用二进制分析方式进行扫描的3,335个应用程序中，有2,115个包含易受攻击的组件（63%），每个易受攻击的应用程序中平均有39个漏洞。所发现的安全漏洞在所有这些应用程序中被扫描到总计超过8.2万次。这意味着目前最受欢迎的大多数Android应用都存在某种漏洞，与应用类别（生活，金融等）或其开发者无关。 对于经常使用此类应用程序的消费者而言，这些漏洞的普遍程度不禁让其担心个人信息和安全受到威胁。应用程序所有者（开发者及其公司）同样有此担心，因为他们的企业数据、员工数据、客户数据和声誉都面临风险。 | synopsys.com | 5 按应用程序类别划分的调查结果 为了将本报告中标出的令人不安的的漏洞放到合适的场景，CyRC按应用 程序类别对 扫描结果进行了过滤，揭示出最易受攻击的应用类别。最引人注目的结果是金融、游戏和生产效率应用程序 中的漏洞数量— 这些都是在新冠疫情期间广受欢迎的应用程序类别。 包含易受攻击组件的被扫描应用程序的百分比（按类别） 最受欢迎免费游戏 最畅销游戏 银行类应用程序 预算类应用程序 支付类应用程序 最受欢迎付费游戏 最畅销应用程序 最受欢迎免费应用程序 生产效率 应用程序