Широкое использование открытого кода в самых популярных Андроид приложениях, доступных в Google Play вызвало большое количество уязвимостей, предполагает American Consumer Institute в отчете, опубликованном в 12 сентября.
32% или 105 приложений из 330 в выборке из 16 категорий содержат в среднем по 19 уязвимостей на приложение. А это банковские приложения, приложения покупки билетов, приложения для спорта и путешествий.
“Всего известно 40 000 уязвимостей в open source коде и одна треть этого числа появилась за прошлый год”, — как сообщил Posiask из ACI в интервью для LinuxInsider. Это серьезный повод для беспокойства, учитывая что 90% всего софта используемого сегодня содержит свободно доступный (open source) код.
Чья это проблема — юзера или разработчика приложения? “Так как реальные приложения размещены на доверенных сторах, таких как Google Play Store, это создает все большую угрозу для ничего не подозревающего пользователя”, — заявляет Тимур Ковалев, глава технологического отдела Untangle Критически важно чтобы пользователи приложений понимали, что хакерам все равно кто станет их следующей жертвой.
Ранее Google проводил базовые проверки приложений но скорость, с которой новые приложения ежедневно добавляются в стор не позволяют Google справляться с потоком. За последний год Google ввел несколько новых технологий проверки приложений на основе машинного обучения, что безусловно улучшило ситуацию. Кроме того Google тесно сотрудничает с “белыми шапками” (профессиональные хакеры, специализирующиеся на поиске и устранении уязвимостей), но в любом случае в сторе будет множество приложений, содержащих вредоносный код но прошедших все проверки.
Какова же верная стратегия создания безопасного приложения для разработчика?
По мнению Pinngle она заключается в следующем:
- Моделируйте угрозы и исключайте найденные уязвимости
- Включайте безопасность в требования конечного продукта
- Проводите тесты безопасности на постоянной основе как часть цикла разработки приложения
- Отправляйте ваши приложения на тесты взлома перед публикацией.
- Постоянно работайте над усилением безопасности приложения даже в недоверенном и потенциально опасном окружении.