二進制安全和兼容性測試公司Insignary進行的研究發現五分之一的Android應用程序存在漏洞。
Insignary測試了Google Play商店中最受歡迎的Android應用程序中的700個用於研究。他們的Clarity系統首次為已知的開源漏洞分析APK進行工作。
以下是一些主要發現:
二進制掃描表明,頂級軟件供應商在Google Play商店上提供的Android應用程序包含具有安全漏洞的開源組件版本。在掃描的700個APK文件中,有136個包含安全漏洞。
有安全漏洞的APK文件中有57%包含排名為“嚴重性高”的漏洞,這意味著部署的軟件更新仍然容易受到潛在安全威脅的影響。
在安全漏洞的136個APK文件中,有86個包含與openssl相關的漏洞。
在安全漏洞的136個APK文件中,有58個包含與ffmpeg和libpng相關的漏洞。這些開源組件的盛行可歸因於移動應用程序中大量的圖像和視頻。
有趣的是,掃描的三個APK文件包含超過五個帶有安全漏洞的二進制文件。大多數帶有漏洞的APK文件都包含一對三的具有安全漏洞的二進制文件。
“遊戲”類別的前20個應用中有70%包含安全漏洞。
“體育”類別中排名前20的應用程序中有30%包含安全漏洞。
這項研究表明,每5個APK文件中就有一個沒有使用可用的OSS組件的正確,最新版本。
過時組件的使用往往是造成安全漏洞的原因。Insignary發現了新版本的組件,這些組件的漏洞往往可以解決這些問題。
開發者和用戶可以在安裝前訪問免費網站TruthIsIntheBinary來測試APK 。
分享到:
閱讀更多 高效碼農 的文章
