五分之一的Android应用程序中存在漏洞
二进制安全和兼容性测试公司Insignary进行的研究发现五分之一的Android应用程序存在漏洞。
Insignary测试了Google Play商店中最受欢迎的Android应用程序中的700个用于研究。他们的Clarity系统首次为已知的开源漏洞分析APK进行工作。
以下是一些主要发现:
二进制扫描表明,顶级软件供应商在Google Play商店上提供的Android应用程序包含具有安全漏洞的开源组件版本。在扫描的700个APK文件中,有136个包含安全漏洞。
有安全漏洞的APK文件中有57%包含排名为“严重性高”的漏洞,这意味着部署的软件更新仍然容易受到潜在安全威胁的影响。
在安全漏洞的136个APK文件中,有86个包含与openssl相关的漏洞。
在安全漏洞的136个APK文件中,有58个包含与ffmpeg和libpng相关的漏洞。这些开源组件的盛行可归因于移动应用程序中大量的图像和视频。
有趣的是,扫描的三个APK文件包含超过五个带有安全漏洞的二进制文件。大多数带有漏洞的APK文件都包含一对三的具有安全漏洞的二进制文件。
“游戏”类别的前20个应用中有70%包含安全漏洞。
“体育”类别中排名前20的应用程序中有30%包含安全漏洞。
这项研究表明,每5个APK文件中就有一个没有使用可用的OSS组件的正确,最新版本。
过时组件的使用往往是造成安全漏洞的原因。Insignary发现了新版本的组件,这些组件的漏洞往往可以解决这些问题。
开发者和用户可以在安装前访问免费网站TruthIsIntheBinary来测试APK 。