五分之一的Android应用程序中存在漏洞

二进制安全和兼容性测试公司Insignary进行的研究发现五分之一的Android应用程序存在漏洞。

Insignary测试了Google Play商店中最受欢迎的Android应用程序中的700个用于研究。他们的Clarity系统首次为已知的开源漏洞分析APK进行工作。

以下是一些主要发现：

• 二进制扫描表明，顶级软件供应商在Google Play商店上提供的Android应用程序包含具有安全漏洞的开源组件版本。在扫描的700个APK文件中，有136个包含安全漏洞。

• 有安全漏洞的APK文件中有57％包含排名为“严重性高”的漏洞，这意味着部署的软件更新仍然容易受到潜在安全威胁的影响。

• 在安全漏洞的136个APK文件中，有86个包含与openssl相关的漏洞。

• 在安全漏洞的136个APK文件中，有58个包含与ffmpeg和libpng相关的漏洞。这些开源组件的盛行可归因于移动应用程序中大量的图像和视频。

• 有趣的是，扫描的三个APK文件包含超过五个带有安全漏洞的二进制文件。大多数带有漏洞的APK文件都包含一对三的具有安全漏洞的二进制文件。

• “游戏”类别的前20个应用中有70％包含安全漏洞。

• “体育”类别中排名前20的应用程序中有30％包含安全漏洞。

• 这项研究表明，每5个APK文件中就有一个没有使用可用的OSS组件的正确，最新版本。

过时组件的使用往往是造成安全漏洞的原因。Insignary发现了新版本的组件，这些组件的漏洞往往可以解决这些问题。

开发者和用户可以在安装前访问免费网站TruthIsIntheBinary来测试APK 。