32% популярных приложений в Play Market небезопасны. Отчет.

Широкое использование открытого кода в самых популярных Андроид приложениях, доступных в Google Play вызвало большое количество уязвимостей, предполагает American Consumer Institute в отчете, опубликованном в 12 сентября.

32% или 105 приложений из 330 в выборке из 16 категорий содержат в среднем по 19 уязвимостей на приложение. А это банковские приложения, приложения покупки билетов, приложения для спорта и путешествий.

“Всего известно 40 000 уязвимостей в open source коде и одна треть этого числа появилась за прошлый год”, — как сообщил Posiask из ACI в интервью для LinuxInsider. Это серьезный повод для беспокойства, учитывая что 90% всего софта используемого сегодня содержит свободно доступный (open source) код.

Чья это проблема — юзера или разработчика приложения? “Так как реальные приложения размещены на доверенных сторах, таких как Google Play Store, это создает все большую угрозу для ничего не подозревающего пользователя”, — заявляет Тимур Ковалев, глава технологического отдела Untangle Критически важно чтобы пользователи приложений понимали, что хакерам все равно кто станет их следующей жертвой.

Ранее Google проводил базовые проверки приложений но скорость, с которой новые приложения ежедневно добавляются в стор не позволяют Google справляться с потоком. За последний год Google ввел несколько новых технологий проверки приложений на основе машинного обучения, что безусловно улучшило ситуацию. Кроме того Google тесно сотрудничает с “белыми шапками” (профессиональные хакеры, специализирующиеся на поиске и устранении уязвимостей), но в любом случае в сторе будет множество приложений, содержащих вредоносный код но прошедших все проверки.

Какова же верная стратегия создания безопасного приложения для разработчика?

По мнению Pinngle она заключается в следующем:

  1. Моделируйте угрозы и исключайте найденные уязвимости
  2. Включайте безопасность в требования конечного продукта
  3. Проводите тесты безопасности на постоянной основе как часть цикла разработки приложения
  4. Отправляйте ваши приложения на тесты взлома перед публикацией.
  5. Постоянно работайте над усилением безопасности приложения даже в недоверенном и потенциально опасном окружении.