Aplikacje dla Androida są dziurawe. Owszem, pobieranie z Google Play pomagają się chronić przed szkodliwymi apkami, ale jeszcze daleko do zadowalającego bezpieczeństwa. Co ciekawe, problem dotyczy nie tylko gier, choć one przodują w niechlubnym rankingu.
Poważne błędy ma ponad 60% wszystkich aplikacji w Google Play. Analiza przeprowadzona przez atlasVPN na podstawie raportu CyRC wskazuje, że średnio aplikacje mają przynajmniej po 39 luk bezpieczeństwa. To fatalny wynik. Nie oznacza to oczywiście, że cyberprzestępcy nie śpią w nocy i włamują się do wszystkich telefonów z Androidem… ale mają sporo możliwości, by to robić.
Zapewne jest ich więcej, bo nie ma możliwości przeprowadzenia audytu wszystkich aplikacji dostępnych w Google Play. Nie przy tej skali. Dane zebrane przez CyRC ograniczają się do komponentów open source, wykorzystywanych w 3335 darmowych i płatnych aplikacjach mobilnych w Google Play w pierwszym kwartale 2021 roku. Mowa więc wyłącznie o lukach „odziedziczonych” po ogólnodostępnych implementacjach popularnych rozwiązań.
Nawięcej dziur mają gry, przy czym te dostępne za darmo mają ich jeszcze nieco więcej niż te płatne. 96% darmowych gier, które zostały przebadane, wykorzystywało podatne na ataki komponenty. Wśród płatnych było to 80% gier. Tuż za darmowymi grami znalazły się… aplikacje bankowe i płatnicze! To kategoria, do której mamy największe zaufanie, gdzie w teorii kontrola jakości stoi na najwyższym poziomie. A jednak wcale nie można powiedzieć, że nie używają wadliwych bibliotek.
Jest jeszcze jeden problem. Błędów jest masa, a przy tym są strasznie stare. Analitycy też wzięli na warsztat 3137 pojedynczych luk bezpieczeństwa, które wystąpiły w aplikacjach w Google Play ponad 82 tysiące razy. 73% z nich to luki dobrze już znane. Ba, zostały ujawnione po raz pierwszy ponad 2 lata wcześniej! Mimo tego wciąż są obecne w apkach dla Androida i nie zanosi się na to, by miały szybko zniknąć.
Gdy weźmiemy pod uwagę luki już ujawnione, które można wykorzystać w atakach i wiadomo, jak je naprawić, czołówka nieco się zmienia. Najwięcej znanych luk miały aplikacje edukacyjne. Na początku 2021 roku było to 43% aplikacji. Na dalszych pozycjach znalazły się aplikacje do pracy (41%) i bankowe (39%). Niektórzy autorzy mogliby tego uniknąć, gdyby przyłożyli się do audytu bezpieczeństwa swoich produktów. Aplikacje bankowe pokazują jednak, że audyt nie zawsze jest rozwiązaniem, co wcale nie nastraja optymistycznie.
Zobacz: Android celem nowego ataku. Przestępcy budują botnet sterowany przez Tor
Zobacz: Malware xHelper rozpracowany. Wiemy jak przetrwał „factory reset” Androida
Jednak audyty są drogie i mało kto się na nie decyduje, zwłaszcza gdy wydawca aplikacji dopiero startuje na rynku mobilnym. Do tego dochodzi nierówny rozwój umiejętności i potrzeb. Mamy narzędzia pozwalające tworzyć coraz bardziej złożone aplikacje bez zaglądania do kodu osobom, które o cyberbezpieczeństwie wiedzą niewiele… a już na pewno nie zajrzą do otwartoźródłowego komponentu, by sprawdzić jego bezpieczeństwo. Mogą nawet nie wiedzieć, że taki komponent jest w użyciu, bo zwyczajnie nie muszą.
Nie można nawet narzekać, że aplikacje są robione „na kolanie”. Moim zdaniem winny jest bezmyślny recykling kodu i kultura pobieżnego, masowego kształcenia programistów. Swoje dokładają też ograniczenia czasowe, nakładane przy tworzeniu produktów komercyjnych. Pewnie skończy się na tym, że to Google dostanie po głowie za brak kontroli w sklepie Play, sprawa rozejdzie się po kościach, a dziury będą przenoszone z pokolenia na pokolenie jak choroba genetyczna. Niestety Tim Cook miał rację, twierdząc, że Google Play jest pełen śmieci.
Na koniec dodam jeszcze, że jeszcze nie ma opracowanych łatek dla 6% badanych luk. 44% wszystkich luk zostało zaklasyfikowanych jako wysokiego ryzyka, 1% pozwala na zdalne wykonanie dowolnego kodu na telefonie ofiary.
Źródło zdjęć: Denny Müller (Unsplash)
Źródło tekstu: atlasVPN