当前,移动应用程序已成为大部分人日常生活的重要部分,在使用移动应用程序时,其安全性不容忽视。
新思科技近日宣布发布了《疫情中的安全隐患:移动应用程序安全现状》报告。该报告审查了对2021年第一季度在Google Play商店中最受欢迎的3,335个安卓移动应用程序进行的研究结果。报告显示绝大多数应用程序(63%)包含具有已知安全漏洞的开源组件,并且强调了普遍存在的安全隐患,包括暴露在应用程序代码中的敏感数据以及过度使用的移动设备权限。
报告显示,在18种受欢迎的移动应用程序类别中,至少三分之一的应用程序包含已知的安全漏洞。
新思科技软件质量与安全部门高级安全架构师杨国梁表示,去年新冠疫情的爆发,手机APP使用量激增,新思科技针对3,000多个APP的分析之后,发现主要在三个领域存在一些潜在的安全风险:
一是开源组件的安全漏洞。杨国梁表示,安全漏洞会导致数据泄露,或者是被黑客攻击。
二是敏感信息的泄露。“在这些APP里面它可能不只是用户的敏感信息,而且还有生产这些APP的厂家,它本身可能会把一些加密的密钥对等等,误留在了这些APP的包里面散布了出去,这些如果被黑客利用的话,那么就会直接构成对个人、对厂家的威胁。”杨国梁说道。
三是过度使用移动设备权限。移动应用程序通常需要访问你的移动设备中的某些功能或数据才能有效运行。然而,某些应用程序草率地或者暗中要求的访问权限远远超出了必要性。
杨国梁总结称:“一些开源漏洞无处不在,开发者必须要有一个主动的系统性的方法去规避这些安全漏洞,作为软件的开发机构,第一步要做到识别,第二步才可能做到修复。”
据悉,新思科技的Black Duck Binary Analysis是Black Duck软件组成分析解决方案的独特功能,可用来监测软件中的安全漏洞、信息泄露和移动设备权限。据杨国梁介绍,Black Duck有一个专门的团队去搜集安全漏洞情报,并且做安全漏洞的分析,同时还有各种各样的自动的机器人,在全球超过1万个不同的源,第一时间爬取开源组件以及安全漏洞情报。
