Vulnerabilità in componenti Open Source su app del Google Play Store

Attenzione a quello che installiamo

download apk
vulnerabilità in componenti Open Source

Insignary ha pubblicato un rapporto di sicurezza che dovrebbe preoccupare non poco. In questa analisi  si afferma che circa  il 20 percento delle app Android più popolari disponibili tramite Google Play Store contengono componenti open source con vulnerabilità di sicurezza note. Tali vulnerabilità possono essere sfruttate dagli hacker.  Insignary è una società di sicurezza e conformità del software open source a livello binario.  Insignary ha effettuato una scansione basata sulle impronte digitale di 700 app Android più popolari.

Ha sfruttato la tecnologia di scansione binaria basata sulle impronte digitali di Insignary Clarity per analizzare i file APK (Android Package Kit) per le vulnerabilità di sicurezza open source note.

Gli strumenti di scansione binaria della società possono essere utilizzati anche per l’analisi di  software aziendali. Ma l’ utilizzo di questa tecnologi su  l’ampia libreria di applicazioni Android open source,  ha offerto una migliore opportunità per dimostrare il numero di vulnerabilità di sicurezza note che si nascondono nel codice di oggi.

L’analisi non è confortante : il 20% delle app prese in esame conteneva componenti open source con problemi di sicurezza noti. Ciò significa che gli sviluppatori, pur sapendo delle vulnerabilità non hanno effettuato nessuna manovra correttiva per salvaguardare gli utilizzatori dato che le vulnerabilità in componenti Open Source utilizzati sono note da tempo.

Il gruppo di ricerca di ricerca di Insignary ha analizzato i file APK delle app presenti Google Play Store nel mese di  aprile.

Sono state selezionate 20 app per ciascuna delle  35 categorie di app Android. ( giochi , produttività etc etc )

English Version

 

Un po di numeri

Dei 700 file APK analizzati, ben 136 contenevano vulnerabilità di sicurezza.

Il 57 percento dei file APK analizzati con vulnerabilità di sicurezza contenevano  tipologie di vulnerabilità definite “Severity High” (non suina molto bene) . Questo tipo di minaccia indica che gli aggiornamenti software distribuiti rimangono vulnerabili a potenziali minacce alla sicurezza.

86 dei 136 file APK con vulnerabilità di sicurezza contenevano vulnerabilità associate a openssl.

58 dei 136 file APK con vulnerabilità di sicurezza contenevano vulnerabilità associate a ffmpeg e libpng. La prevalenza di tali componenti open source può essere attribuita all’abbondanza di immagini e video nelle applicazioni mobili.

Prima di tutto la sicurezza

Gli utenti Android possono visitare il sito di scansione gratuito di Insignary per verificare da soli se un file APK contiene potenziali vulnerabilità software prima di installarlo sui propri dispositivi.

Insignary non ha testato le vulnerabilità dei file APK su altri siti di distribuzione di software Android. Tuttavia, altre fonti potrebbero comportare rischi ancora maggiori.

Se ci sono di questi problemi sul Google Play Store figuriamoci nei repository non ufficiali.

Quindi attenzione a quello che installate ! Trovare vulnerabilità in componenti Open Source è una cosa a cui tutta la comunità puo’ lavorare e trovare una soluzione . Trovare vulnerabilità in componenti Open Source di sicurezza gia note,  significa che agli sviluppatori non ne può fregar de meno e pensano solo al tornaconto.

English Version