Seguridad

Numerosas vulnerabilidades en aplicaciones populares de Android: informe

Según un informe, alrededor del 20 por ciento de las aplicaciones de Android más populares disponibles a través de Google Play Store contienen componentes de código abierto con vulnerabilidades de seguridad conocidas que podrían ser explotadas por piratas informáticos. insignia Se lanzará la próxima semana.

Los hallazgos son el resultado de un reciente escaneo completo de código binario de la compañía de 700 de las aplicaciones de Android más populares en Google Play Store. Insignary es una empresa de cumplimiento y seguridad de software de código abierto de nivel binario.

Aprovechó su tecnología de escaneo binario basada en huellas dactilares Insignary Clarity para analizar archivos Android Package Kit (APK) en busca de vulnerabilidades de seguridad de código abierto conocidas y las encontró en una de cada cinco aplicaciones de Android. Algunas son fallas de código graves.

«Con los modelos actuales de adquisición de software y desarrollo, es casi imposible saber qué componentes de código abierto están incluidos en el software. Nuestra herramienta es la primera en poder catalogar todos los componentes de código abierto (es decir, el software recibido y utilizado por los consumidores) en un formato binario.» herramientas e informar qué componentes se sabe que tienen vulnerabilidades de seguridad conocidas», dijo Tae-Jin (TJ) Kang, director ejecutivo de Insignary.

Las herramientas de escaneo binario de la compañía también son adecuadas para software empresarial, pero la gran biblioteca de aplicaciones de código abierto de Android brinda una mejor oportunidad para mostrar la cantidad de agujeros de seguridad conocidos que se esconden en el código actual, dijo.

«Nuestro objetivo no es sólo resaltar los problemas. Queremos ver cuán prevalentes son estos problemas», dijo Kang a LinuxInsider.

descubrimiento sorprendente

El veinte por ciento de las aplicaciones de Android escaneadas tenían componentes de código abierto con vulnerabilidades de seguridad conocidas.

Los resultados sorprendieron a los investigadores, dijo Kang, considerando que los consumidores y las empresas dependen tanto de los teléfonos inteligentes como de ellos. La falta de las precauciones de seguridad más básicas no es buena para los desarrolladores de aplicaciones de Android.

«La seguridad del software y la privacidad de los datos están cada vez más en riesgo debido a fallas en el desarrollo y adquisición de software y aplicaciones y a la creciente sofisticación de los hackers y sus métodos», señaló Steve Pociask, presidente de la compañía. Centro de Investigación de Ciudadanía de la Asociación de Consumidores de Estados Unidosquien fue informado sobre el informe.

Los hallazgos históricos del estudio apuntan a los peligros inherentes a las aplicaciones de Android de código abierto no examinadas por los proveedores de aplicaciones, dijo, y agregó que la identificación previa de Insignary de vulnerabilidades ocultas es clave para frustrar estos problemas y proteger la información del consumidor.

Pociask dijo a LinuxInsider: «Está claro que se deben tomar medidas para mejorar la calidad de la seguridad y la privacidad de los datos antes de que las aplicaciones de Android y otro software que utiliza componentes de software de código abierto lleguen a las empresas y consumidores».


Como mínimo, los desarrolladores necesitarán implementar versiones de software más nuevas sin vulnerabilidades de seguridad conocidas, dijo Kang de Insignary.

punto clave

El equipo de I+D de Insignary escaneó los archivos APK durante la primera semana de abril. El equipo seleccionó las 20 aplicaciones más populares en cada una de las 35 categorías de aplicaciones de Android, incluidas juegos, productividad, redes sociales, entretenimiento y educación.

Los escaneos binarios revelaron fallas importantes en el código de programación de las aplicaciones ofrecidas por los principales proveedores de software en la tienda Google Play. De los 700 archivos APK analizados, 136 contenían vulnerabilidades de seguridad.

Otros hallazgos:

  • El 57% de los archivos APK con vulnerabilidades de seguridad contenían vulnerabilidades clasificadas como de «alta gravedad». Esta calificación significa que las actualizaciones de software implementadas siguen siendo vulnerables a posibles amenazas a la seguridad.
  • De los 136 archivos APK con vulnerabilidades de seguridad, 86 contenían vulnerabilidades relacionadas con openssl.
  • De los 136 archivos APK con vulnerabilidades de seguridad, 58 contenían vulnerabilidades relacionadas con ffmpeg y libpng. La popularidad de estos componentes de código abierto se puede atribuir a la abundancia de imágenes y vídeos en las aplicaciones móviles.

Curiosamente, los tres archivos APK analizados contenían más de cinco archivos binarios vulnerables. Los archivos APK más vulnerables contienen entre uno y tres archivos binarios vulnerables.

  • El setenta por ciento de las 20 principales aplicaciones en la categoría de juegos tenían vulnerabilidades de seguridad.
  • El treinta por ciento de las 20 principales aplicaciones en la categoría de deportes tenían vulnerabilidades de seguridad.

Los investigadores concluyeron que uno de cada cinco archivos APK no utilizaba las versiones correctas y actualizadas de los componentes de software de código abierto disponibles.

problema serio

No hay muchas herramientas que puedan clasificar el nivel binario para encontrar vulnerabilidades. La mayoría de las herramientas existentes buscan patrones de código que se han convertido en problemas de seguridad bien conocidos.

«Las herramientas de análisis de código estático no pueden detectar los problemas que encontramos», señaló Kang.

La mayoría de las empresas utilizan este tipo de herramientas para encontrar problemas en el código propietario. Señaló que sus programas propietarios se agregan sobre componentes de código abierto.

«Los desarrolladores de software casi piensan que el código fuente abierto que utilizan es seguro porque ha sido utilizado por mucha gente durante muchos años», dijo Kang. «Descubrimos que sólo detectaron menos del 10 por ciento de las vulnerabilidades conocidas».


ignorar la seguridad

La comunidad de código abierto creó nuevas versiones de componentes para abordar todas las vulnerabilidades de seguridad enumeradas anteriormente. Los desarrolladores y proveedores de software pueden aprovechar estos lanzamientos para evitar filtraciones de datos y demandas posteriores que podrían costar a las empresas daños significativos, según el informe.

En conversaciones con varios proveedores, Insignary encontró algunos desarrolladores que expresaron su preferencia por aplicar parches manualmente línea por línea, según el informe.

Esta es la misma reacción de los desarrolladores hace unos meses cuando Insignary informó sobre una falla de seguridad en los enrutadores WiFi.

Los investigadores de Insignary concluyeron que, si bien algunos pueden utilizar el método ad-hoc de parchear manualmente las vulnerabilidades línea por línea, esto parece ser la excepción y no la regla.

Si bien este enfoque puede funcionar, los desarrolladores de aplicaciones de Android aún deberían escanear sus archivos binarios para garantizar que se detecten y solucionen todas las vulnerabilidades de seguridad conocidas, sugieren los investigadores.

El informe indica que hay dos posibilidades de que una aplicación de Android no utilice la versión correcta del componente. Una es que los desarrolladores no creen que valga la pena corregir las vulnerabilidades. Otra es que no utilizan un sistema que encuentre e informe con precisión los componentes de código abierto que se sabe que contienen vulnerabilidades de seguridad conocidas.

momento cuestionado

En general, Play Store es probablemente más segura hoy que nunca, dice Charles King, quien es Golpearlo. Sin duda, Google se toma muy en serio la seguridad de las aplicaciones y el último informe de seguridad de Android de la compañía detalla los pasos que está tomando para mejorar la calidad de la seguridad.

«Dicho esto, todavía hay y probablemente siempre habrá fallas en la armadura de Android, en gran parte debido a los esfuerzos incompletos de muchos desarrolladores de aplicaciones y fabricantes de dispositivos para implementar y entregar parches», dijo a LinuxInsider.

Es poco probable que eso cambie, por lo que proyectos como Insignary pueden desempeñar un papel importante para mantener informados a los propietarios de dispositivos Android. King dijo que será interesante ver si Insignary puede proporcionar evidencia de que las vulnerabilidades que descubrió han resultado en la explotación de una gran cantidad de dispositivos Android.

«El anuncio parece oportuno para aprovechar la RSA Esta semana hay una conferencia, por lo que hacer un reclamo controvertido contra un actor importante como Google podría ayudar a Insignary a destacar entre la multitud», señaló.

Hace menos de un año, Insignary era un desconocido. King señaló que la compañía recaudó $2 millones en fondos Serie A a principios de este año, lo que significa que es una organización en etapa inicial con solo unos pocos empleados.

«Su tecnología de escaneo de códigos binarios puede ser excelente, pero también compite con otras empresas establecidas desde hace mucho tiempo, incluidas Veracode, Sinopsis y seguridad de sombrero blanco«, dijo. «No sé cómo se compara la solución de Insignary con otras soluciones. »

un punto de partida

Kang de Insignary reconoció que Play Store de Google es mucho mejor para examinar el código de software que otros repositorios.

Sin embargo, en algunos países, como China, la tienda Google Play no está permitida y existen otras tiendas de aplicaciones como competidoras en otras regiones, dijo.

El informe de Insignary no se centra en la existencia real de vulnerabilidades de Android. El objetivo es darlo a conocer a los usuarios y desarrolladores de software de Android.

Kang dijo que tiene sentido reconocer que los piratas informáticos buscarán problemas conocidos en lugar de buscar vulnerabilidades que aún no se han hecho públicas. Se pueden tomar medidas para abordar estas vulnerabilidades.

aclarar claridad

Clarity Scanner de Insignary es una solución de seguridad que escanea de forma proactiva archivos binarios de software en busca de vulnerabilidades de seguridad conocidas y prevenibles. También puede identificar problemas de cumplimiento de licencias.

Las herramientas de Clarity utilizan una tecnología única basada en huellas dactilares que funciona a nivel binario sin necesidad de código fuente ni ingeniería inversa. Insignary dice que esto facilita que los desarrolladores de software, revendedores de valor agregado, integradores de sistemas y proveedores de servicios administrados que supervisan las implementaciones de software tomen las precauciones adecuadas antes de entregar el software.

Clarity de Insignary es único porque escanea una «huella digital» en código binario, la inspecciona y luego la compara con las huellas digitales recopiladas de componentes de código abierto en numerosos repositorios de código abierto, dijo la compañía. Este proceso es diferente de los escáneres binarios basados ​​en suma de comprobación o hash.

Clarity no necesita mantener una base de datos separada de suma de comprobación o información hash para cada arquitectura de CPU. Según la empresa, esto aumenta significativamente la flexibilidad y precisión de Clarity en comparación con los escáneres binarios tradicionales.

Una vez que se ha identificado un componente y su versión mediante la comparación basada en huellas dactilares de Clarity, el software del escáner lo compara con más de 180.000 vulnerabilidades de seguridad conocidas catalogadas en una extensa base de datos.

Clarity también proporciona «coincidencia difusa» de código binario y admite servidores de automatización como LDAP, RESTful API y Jenkins.

Seguridad primero

Los usuarios de Android pueden acceder a Insignary Escanear sitios web gratis Pruebe usted mismo el archivo APK para detectar posibles vulnerabilidades de software antes de instalarlo en su dispositivo.

Insignary no ha probado las vulnerabilidades de los archivos APK en otros sitios de distribución de software de Android. Sin embargo, Kim dijo que otros canales podrían representar un mayor riesgo para el código peligroso.

«En todo caso, muchas otras tiendas, si no la mayoría, tienen menos programas de seguridad que Play Store», dijo, «por lo que los usuarios de Android deben tener cuidado al descargar aplicaciones de estas fuentes, especialmente importantes».

Kim agregó que mantenerse atento a las actualizaciones y parches del sistema y las aplicaciones es algo que cualquiera puede hacer, y las aplicaciones de terceros pueden ayudar a administrar el proceso.

LEER  La investigación revela 10 amenazas comunes que afectan a los clientes de la nube

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba