Xakep #305. Многошаговые SQL-инъекции
Исследователи Atlas VPN подсчитали, что более 60% всех приложений для Android содержат уязвимости, при этом среднее количество ошибок в одном приложении равняется 39.
Данная статистика основана на отчете Synopsys Cybersecurity Research Center (CyRC), в котором была изучена безопасность опенсорсных компонентов в 3335 бесплатных и платных приложениях из Google Play Stire по состоянию на 1 квартал 2021 года. Учитывая, что изученные приложения были загружены из магазина Google Play миллионы раз, исследователи считают, что они «представляют значительную угрозу безопасности для пользователей Android».
Интересно, что проблемы затрагивают не только бесплатные утилиты и игры, но также касаются банковских и платежных приложений. Однако худший результат показали именно приложения из категории бесплатных игр: 96% из них содержат уязвимые компоненты. Следом идут самые прибыльные платные игры (94% уязвимы), а за ними, как ни странно, следуют банковские приложения (88% уязвимы).
Исследователи отмечают, что многие из этих ошибок являются старыми:
«Всего в первом квартале 2021 года было обнаружено 3137 уникальных уязвимостей, которые проявились в приложениях более 82 000 раз. В общей сложности 73% уязвимостей были обнаружены более двух лет назад, однако в первом квартале текущего года они все еще встречались в приложениях для Android».
Более того, подчеркивается, что большинство этих ошибок можно было бы исправить, если бы разработчики утруждали себя проведением аудитов.
«Среди образовательных приложений было обнаружено наибольшее количество эксплуатируемых уязвимостей, которые возможно исправить — 43%. Между тем, приложения для повышения производительности и банковские приложения заняли вторую и третью строчки в списке. В них такие уязвимости составляют 41% и 39% соответственно», — пишут эксперты.