搜索
Search
Search
Endela Electronics(Shenzhen)Co.,Ltd.
/
/
/
報告顯示:絕大多數應用程序包含具有已知安全漏洞的開源組件

新聞中心

資訊分類

聯系我們

安登利電子(深圳)有限公司

電話: + 86 - 755 - 8259 8974

傳真: + 86 - 755 - 8524 0865

電子郵件: wade@endela.cn

http://www.hkendela.com

地址:深圳市寶安區松崗樓崗藍天科技園A5座

報告顯示:絕大多數應用程序包含具有已知安全漏洞的開源組件

  • 分類:行業新聞
  • 作者:
  • 來源:http://www.cena.com.cn/ia/20210420/111541.html
  • 發布時間:2021-04-25 17:04
  • 訪問量:

報告顯示:絕大多數應用程序包含具有已知安全漏洞的開源組件

詳情

《流行病中的安全隱患:移動應用安全狀況》報告最近被釋放。該報告由 Synopsys 網絡研究中心 (CyRC) 制作,審查了 2021 年第一季度對 Google Play 商店中 3,335 個最受歡迎的 Android 移動應用程序進行的研究結果。報告顯示,絕大多數應用程序( 63%) 包含具有已知安全漏洞的開源組件,并強調廣泛存在的安全風險,包括應用代碼中暴露的敏感數據和過度使用移動設備權限。

 

報告重點關注了18個流行的移動應用類別,其中一些在疫情期間爆發了,包括商業、教育、健康和健身。這些應用程序在 Google Play 商店下載排名或暢銷排名中。盡管安全分析結果因應用類別而異,但在所有 18 個類別中,至少有三分之一的應用包含已知安全漏洞。

 

新思軟件質量與安全部高級安全架構師楊國梁告訴記者,在分析了3000多個應用后,他發現存在三個方面的潛在安全風險:第一是開源組件。安全漏洞,這是一個比較基礎的層面,會因為這些安全漏洞,或者一些被攻擊的情況,以及可能跟我們個人或者個人感覺更相關的那些,會造成一些數據泄露,就像剛才說的。如果我們去過那里,我們會經常面對 APP 并過度征求您的許可。例如,如果與地理位置完全無關,它會詢問您的地理位置信息,例如一些與您的電話完全無關的應用程序。 ,他還會檢查你的電話簿等。這也是一個潛在的安全問題。二是敏感信息泄露。在這些應用程序中,可能不僅是用戶的敏感信息,還有這些應用程序的制造商。它可能會錯誤地在這些應用程序中留下一些加密的密鑰對。 APP包展開。如果這些被黑客利用,它們將直接對個人和制造商構成威脅。三是對權威的過度要求。

 

具體來說,移動應用程序中的開源漏洞非常普遍。 在分析的 3,335 個應用程序中,63% 包含至少具有一個已知漏洞的開源組件。易受攻擊的應用程序平均包含 39 個漏洞。 CyRC 總共發現了 3,000 多個獨特漏洞,這些漏洞出現的次數超過 82,000 次。

 

已知漏洞可以解決。 雖然這項研究中發現的漏洞數量令人生畏,但更令人驚訝的是,檢測到的漏洞中有 94% 都有公開記錄的修復程序,這意味著可以使用安全補丁或更新以及更多安全版本的開源組件.此外,73% 的檢測到的漏洞至少在兩年前首次向公眾披露,表明應用程序的開發人員沒有考慮構建應用程序所用組件的安全性。

 

深入分析高危漏洞。 更徹底的分析表明,CyRC 認為近一半 (43%) 的漏洞是高風險漏洞,因為這些漏洞已被積極利用或與記錄的概念驗證 (PoC) 漏洞利用相關。不到 5% 的漏洞與漏洞利用或 PoC 漏洞利用相關,并且沒有可用的修復程序。 1% 的漏洞被歸類為遠程代碼執行 (RCE) 漏洞,許多人認為這是最嚴重的漏洞。 0.64% 的漏洞被歸類為 RCE 漏洞,與主動攻擊或 PoC 攻擊相關。

 

信息泄露。 當開發者在應用程序的源代碼或配置文件中無意泄露敏感或個人數據時,這些信息很可能被惡意攻擊者用來發起后續攻擊。 CyRC 發現了數以萬計的信息泄漏實例,并且暴露了從私鑰和令牌到電子郵件和 IP 地址的潛在敏感信息。

 

過度使用移動設備權限。 移動應用程序通常需要訪問移動設備中的某些功能或數據才能有效運行。然而,一些應用程序草率或秘密地要求訪問權限遠遠超出必要。 CyRC 分析的移動應用程序平均需要 18 個設備權限,包括平均 4.5 個敏感權限或需要多次訪問個人數據的權限,平均 3 個被歸類為“第三方應用程序不可用”。由 Google 使用 &rdqu;允許。下載量超過一百萬的應用程序需要 11 個權限。這些權限被歸類為“危險保護級別”。由谷歌。另一個下載量超過500萬的應用總共需要56個權限,其中31個被谷歌歸類為“危險保護級別”;第三方應用不允許的權限或簽名權限。

 

比較應用程序類別。 在 18 個類別中的 6 個類別中,至少 80% 的應用程序包含已知漏洞,包括游戲、銀行、預算和支付應用程序。生活方式和健康與健身類別在易受攻擊的應用程序中所占的比例最低,為 36%。銀行、支付和預算類別在移動設備所需的平均權限數方面也位居前三,遠高于18個類別的平均值。游戲、教具、教育和生活方式應用需要的平均權限數最低。

 

關鍵詞:

如何解決工業和信息化領域人才供需矛盾

如何解決工業和信息化領域人才供需矛盾

人才是產業發展和技術創新的第一要素。高質量的產業發展必須與高素質的人才相匹配。近日,在工業和信息化部人才交流中心主辦的首屆工業人才創新發展論壇暨工業和信息化重點領域人才需求預測系列報告中,公共管理學院和國務院人力資源發展研究中心主任李建偉特別強調了人才在工業和信息產業發展中的重要作用。行業的發展離不開一支高素質的人才隊伍的支持。只有人才強,制造業才能強,信息產業才能蓬勃發展。工業和信息產業發展的黃金時代已經悄然開啟。我國如何解決工業和信息化領域人才供需問題?
三大運營商2020年年報出爐,未來5G建設投資將持續增加

三大運營商2020年年報出爐,未來5G建設投資將持續增加

3月25日,中國移動公布了2020年度業績報告。 目前,中國移動、中國電信、中國聯通均發布了2020年年報。 過去一年,三大運營商總收入達到14655億元,凈利潤1412億元,均實現正增長。
白皮書指出區塊鏈將成為隱私計算產品不可或缺的選擇

白皮書指出區塊鏈將成為隱私計算產品不可或缺的選擇

隱私計算是數據融合應用過程中保障數據安全合規的關鍵技術路徑。 其商業模式、應用場景、技術變革、產業趨勢、法律問題等正在成為當前的政、產、學、研、應用關注的焦點。 熱點。 近日,騰訊發布了《騰訊隱私計算2021白皮書》,從隱私計算的發展背景、技術體系、關鍵應用行業和場景、數據安全合規、未來發展前景等多角度探討隱私計算。

友情鏈接: 工業穩壓器 交流穩壓器 感應穩壓器

在線留言

留言應用名稱:
客戶留言
描述:

Copyright ? 2021 安登利電子(深圳)有限公司  版權所有  粵ICP備11024848號   網站建設:中企動力 龍崗

亚洲精品中文字幕无码_国产精品系列在线播放_欧美人与禽交ZoZO_mmuu55首页 日本系列_欧美丰满老熟妇乱叫