Vulnerabilità in componenti Open Source su app del Google Play Store
Attenzione a quello che installiamo
Insignary ha pubblicato un rapporto di sicurezza che dovrebbe preoccupare non poco. In questa analisi si afferma che circa il 20 percento delle app Android più popolari disponibili tramite Google Play Store contengono componenti open source con vulnerabilità di sicurezza note. Tali vulnerabilità possono essere sfruttate dagli hacker. Insignary è una società di sicurezza e conformità del software open source a livello binario. Insignary ha effettuato una scansione basata sulle impronte digitale di 700 app Android più popolari.
Ha sfruttato la tecnologia di scansione binaria basata sulle impronte digitali di Insignary Clarity per analizzare i file APK (Android Package Kit) per le vulnerabilità di sicurezza open source note.
Gli strumenti di scansione binaria della società possono essere utilizzati anche per l’analisi di software aziendali. Ma l’ utilizzo di questa tecnologi su l’ampia libreria di applicazioni Android open source, ha offerto una migliore opportunità per dimostrare il numero di vulnerabilità di sicurezza note che si nascondono nel codice di oggi.
L’analisi non è confortante : il 20% delle app prese in esame conteneva componenti open source con problemi di sicurezza noti. Ciò significa che gli sviluppatori, pur sapendo delle vulnerabilità non hanno effettuato nessuna manovra correttiva per salvaguardare gli utilizzatori dato che le vulnerabilità in componenti Open Source utilizzati sono note da tempo.
Il gruppo di ricerca di ricerca di Insignary ha analizzato i file APK delle app presenti Google Play Store nel mese di aprile.
Sono state selezionate 20 app per ciascuna delle 35 categorie di app Android. ( giochi , produttività etc etc )
[read more=”English Version” less=”Read Less”]
Insignary has published a safety report that should worry a lot. This analysis shows that about 20 percent of the most popular Android apps available through the Google Play Store contain open source components with known security vulnerabilities. Such vulnerabilities can be exploited by hackers. Insignary is a security company and open source software compliance at the binary level. Insignary scanned based on the fingerprints of 700 of the most popular Android apps.
It leveraged Insignary Clarity’s binary fingerprint scanning technology to analyze APK (Android Package Kit) files for open source note security vulnerabilities.
The company’s binary scanning tools can also be used for analysis of company software. But the use of this technology on the extensive library of open source Android applications, has offered a better opportunity to demonstrate the number of known security vulnerabilities that are hidden in today’s code.
The analysis is not comforting: 20% of the apps examined contained open source components with known security problems. This means that developers, aware of the vulnerabilities, have not carried out any corrective manoeuvres to safeguard users, since the vulnerabilities in the Open Source components used have been known for some time.
Insignary’s search group analyzed the APK files of the Google Play Store apps in April.
Insignary has selected 20 apps for each of 35 categories of Android apps. (games, productivity etc etc)
[/read]
Un po di numeri
Dei 700 file APK analizzati, ben 136 contenevano vulnerabilità di sicurezza.
Il 57 percento dei file APK analizzati con vulnerabilità di sicurezza contenevano tipologie di vulnerabilità definite “Severity High” (non suina molto bene) . Questo tipo di minaccia indica che gli aggiornamenti software distribuiti rimangono vulnerabili a potenziali minacce alla sicurezza.
86 dei 136 file APK con vulnerabilità di sicurezza contenevano vulnerabilità associate a openssl.
58 dei 136 file APK con vulnerabilità di sicurezza contenevano vulnerabilità associate a ffmpeg e libpng. La prevalenza di tali componenti open source può essere attribuita all’abbondanza di immagini e video nelle applicazioni mobili.
Prima di tutto la sicurezza
Gli utenti Android possono visitare il sito di scansione gratuito di Insignary per verificare da soli se un file APK contiene potenziali vulnerabilità software prima di installarlo sui propri dispositivi.
Insignary non ha testato le vulnerabilità dei file APK su altri siti di distribuzione di software Android. Tuttavia, altre fonti potrebbero comportare rischi ancora maggiori.
Se ci sono di questi problemi sul Google Play Store figuriamoci nei repository non ufficiali.
Quindi attenzione a quello che installate ! Trovare vulnerabilità in componenti Open Source è una cosa a cui tutta la comunità puo’ lavorare e trovare una soluzione . Trovare vulnerabilità in componenti Open Source di sicurezza gia note, significa che agli sviluppatori non ne può fregar de meno e pensano solo al tornaconto.
[read more=”English Version” less=”Read Less”]
Some numbers
Of the 700 APK files scanned, 136 contained security vulnerabilities.
57 percent of APK files scanned with security vulnerabilities contained vulnerability types called “Severity High” (not very well porked). This type of threat indicates that distributed software updates remain vulnerable to potential security threats.
86 of the 136 APK files with security vulnerabilities contained vulnerabilities associated with openssl.
58 of 136 APK files with security vulnerabilities contained vulnerabilities associated with ffmpeg and libpng. The prevalence of such open source components can be attributed to the abundance of images and videos in mobile applications.
First of all : safety
Android users can visit the free Insignary scanning site to see for themselves whether an APK file contains potential software vulnerabilities before installing it on their devices.
Insignary has not tested the vulnerabilities of APK files on other Android software distribution sites. However, other sources could pose even greater risks.
If there are any such problems on the Google Play Store, let alone the unofficial repositories.
So be careful what you install! Finding vulnerabilities in Open Source components is something that the whole community can work on and find a solution to. Finding vulnerabilities in Open Source security components already known, means that developers do not follow the rules and think only about earning.
[/read]