(Nie)bezpieczne aplikacje mobilne w Google Play

Raport „Zagrożenie w pandemii: stan bezpieczeństwa aplikacji mobilnych” opracowany przez Synopsys Cybersecurity Research Center (CyRC) stanowi ostrzeżenie zarówno dla użytkowników smartfonów, jak i twórców oprogramowania. Jego autorzy przeanalizowali 3335 najpopularniejszych aplikacji w sklepie Google Play i przedstawili wyniki swoich badań w trzech obszarach: luki w zabezpieczeniach aplikacji open source, wyciek poufnych informacji oraz nadmierne wykorzystywanie uprawnień urządzenia mobilnego.

Luki w zabezpieczeniach oprogramowania typu open source

Oprogramowanie typu open source bardzo szybko zyskuje na popularności, co dotyczy również aplikacji mobilnych. Aż 98 proc. analizowanych przez CyRC programów zawierało komponenty open source. Niestety, problem polega na tym, że 63 proc. z nich posiadało znane luki w zabezpieczeniach, zaś na jedną aplikację przypadało średnio 39 luk. Co istotne, 44 proc. wykrytych podatności wiązało się z wysokim ryzykiem ze względu na dostępność exploita.

– Biorąc pod uwagę, że te aplikacje zostały pobrane miliony razy i zawierają dane milionów konsumentów, zagrożenie bezpieczeństwa jest wysokie. Pamiętamy lukę typu open source w Apache Struts, która była główną przyczyną naruszenia w Equifax w 2017 r. W tym przypadku 147 milionów klientów miało ujawnione dane osobowe, to poważne zagrożenie zarówno w firmach, jak i wśród konsumentów – zauważa Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Potencjalne przypadki wycieku informacji

Wyciek informacji ma miejsce, kiedy programiści przypadkowo zostawiają dane osobowe lub poufne w kodzie źródłowym lub plikach konfiguracyjnych aplikacji. Badanie CyRC wykazało tysiące fragmentów poufnych informacji, które pozostały w aplikacjach. W tym 2224 haseł, tokenów lub kluczy, 10863 adresów e-mail oraz 392 795 adresów IP i adresów URL.

– Chociaż każdy z nich może sam w sobie zaszkodzić firmie, razem mogą stanowić dokładnie te informacje, których atakujący potrzebuje, aby uzyskać dostęp. Tokeny, klucze i hasła używane w połączeniu z adresami e-mail, adresami IP w systemach wewnętrznych mogą zapewniać dostęp do serwerów, systemów lub innych wrażliwych właściwości – zauważa Mariusz Politowicz.

Nadmierne uprawnienia mobilne

CyRC przeanalizowało uprawnienia w trzech kategoriach: normalne, wrażliwe i takie, których nie mogą używać aplikacje innych firm. Średnia uprawnień na jedną aplikację wynosiła 18. Autorzy raportu uznali 56 proc. uprawnień za normalne, 26 proc. zakwalifikowali do kategorii wrażliwe, zaś w przypadku 18 proc. stwierdzili, że nie nadają się do użytku przez aplikacje innych firm. W kilku skrajnych przypadkach niektóre aplikacje mobilne wymagały więcej niż 50 uprawnień! W jednym z przykładów, apka zdrowia i fitness z ponad 5 milionami pobrań, zażądała pozwolenia na uruchomienie na poziomie użytkownika root, co dawało jej dostęp do całego telefonu. Nie tylko jest to niepotrzebny poziom dostępu, ale może mieć poważne konsekwencje dla konsumentów, Podsumowując: użytkownicy muszą zrozumieć, jaki poziom dostępu zapewniają aplikacji, aby zagwarantować bezpieczeństwo swoich danych. Z kolei programiści aplikacji muszą też znać uprawnienia, o które proszą, ponieważ ostatecznie to oni są odpowiedzialni za konsekwencje potencjalnego naruszenia.