Estudo da Synopsys mostra usuários Android em grande risco

Um estudo da empresa de segurança Synopsys divulgado nesta quinta-feira (25/3) mostra que os usuários de aplicativos Android correm grandes riscos. O relatório Peril in a Pandemic: The State of Mobile Application Security Testing, realizado pela Synopsys Cybersecurity Research Center (CyRC), examinou 3.335 aplicativos móveis Android mais populares no Google Play Store no primeiro trimestre de 2021. O estudo descobriu que a maioria dos aplicativos (63%) continha componentes de código aberto com vulnerabilidades de segurança conhecidas e destacou outras preocupações generalizadas de segurança, incluindo dados confidenciais expostos no código do aplicativo e o uso excessivo de permissões de dispositivos móveis.

A pesquisa, que foi conduzida usando Synopsys Black Duck Binary Analysis e focou em 18 categorias populares de aplicativos móveis, muitas das quais tiveram um crescimento explosivo durante a pandemia, incluindo negócios, educação e saúde e fitness. Os aplicativos classificados entre os mais baixados ou de maior popularidade  no Google Play Store. Embora os resultados da análise de segurança variem por categoria de aplicativo, pelo menos um terço dos aplicativos em todas as 18 categorias continham vulnerabilidades de segurança conhecidas.

“Como qualquer outro software, os aplicativos móveis não são imunes às fraquezas e vulnerabilidades de segurança que podem colocar consumidores e empresas em risco”, disse Jason Schmitt, gerente geral do Synopsys Software Integrity Group. “Hoje, a segurança de aplicativos móveis é especialmente importante quando você considera como a pandemia forçou muitos de nós – incluindo crianças, estudantes e grande parte da força de trabalho – a se adaptar a estilos de vida cada vez mais remotos e dependentes de dispositivos móveis. Contra o pano de fundo dessas mudanças, este relatório ressalta a necessidade crítica do ecossistema de aplicativos móveis de elevar coletivamente o nível de desenvolvimento e manutenção de software seguro”, alertou.

Vulnerabilidades

Segundo o relatório, dos 3.335 aplicativos analisados, 63% continham componentes de código aberto com pelo menos uma vulnerabilidade de segurança conhecida. Aplicativos vulneráveis ​​continham uma média de 39 brechas. No total, o CyRC identificou mais de 3 mil vulnerabilidades exclusivas e elas apareceram mais de 82 mil vezes.

Embora o número de vulnerabilidades descobertas nesta pesquisa seja assustador, talvez seja mais surpreendente que 94% das brechas detectadas tenham correções documentadas publicamente, o que significa que há patches de segurança ou versões mais novas e seguras do componente de código aberto disponível. Além disso, 73% das falhas detectadas foram divulgadas ao público há mais de dois anos, indicando que os desenvolvedores de aplicativos simplesmente não estão considerando a segurança dos componentes usados ​​para construir seus aplicativos.

Uma análise mais completa revelou que quase metade (43%) das vulnerabilidades são consideradas pelo CyRC como de alto risco, porque foram exploradas ativamente ou estão associadas a explorações de prova de conceito (PoC) documentadas. Quase 5% das vulnerabilidades estão associadas a um exploit ou exploit PoC e não tem correção disponível; e 1% das brechas são classificadas como vulnerabilidades de execução remota de código (RCE) – que são reconhecidas por muitos como a classe mais grave de vulnerabilidade. Além disso, 0,64% são classificados como vulnerabilidades RCE e estão associados a uma exploração ativa ou exploração PoC.

Segundo o estudo, quando os desenvolvedores expõem acidentalmente dados confidenciais ou pessoais no código-fonte ou nos arquivos de configuração de um aplicativo, eles podem ser usados ​​por invasores mal-intencionados para montar ataques subsequentes. O CyRC encontrou dezenas de milhares de casos de vazamento de informações, em que informações potencialmente confidenciais foram expostas, variando de chaves privadas e tokens a endereços de e-mail e IP.

Os aplicativos móveis geralmente requerem acesso a determinados recursos ou dados de seu dispositivo móvel para funcionar de maneira eficaz. No entanto, alguns aplicativos de forma imprudente ou sub-repticiamente exigem muito mais acesso do que o necessário. Os aplicativos móveis analisados ​​pelo CyRC requerem uma média de 18 permissões de dispositivos. Isso inclui uma média de 4,5 permissões sensíveis ou aquelas que exigem mais acesso aos dados pessoais, e uma média de 3 permissões que o Google classifica como “não destinadas ao uso de terceiros”. Um aplicativo com mais de 1 milhão de downloads exigia 11 permissões que o Google classifica como “Nível de proteção: perigoso”. Outro aplicativo com mais de 5 milhões de downloads exigiu um total de 56 permissões, 31 das quais o Google classifica como “Nível de proteção: Perigoso” ou como permissões de assinatura que não devem ser usadas por aplicativos de terceiros.

Pelo menos 80% dos aplicativos em 6 das 18 categorias continham vulnerabilidades conhecidas, incluindo jogos, bancos, orçamentos e aplicativos de pagamento. As categorias de estilo de vida e saúde e condicionamento físico empataram com a menor porcentagem de aplicativos vulneráveis, 36%. As categorias de bancos, pagamentos e orçamentos também se classificaram entre as três primeiras para o maior número médio de permissões de dispositivos móveis exigidas, bem acima da média geral de 18. Jogos, ferramentas para professores, educação e aplicativos de estilo de vida exigiram o menor número médio de permissões .

Serviço
www.synopsys.com