— Доброе утро, Иоганн! К вам сегодня попросилась Рита. Я записала ее на 10-00.
— Спасибо, но зачем же на 10? Попроси ее заглянуть сейчас. И приготовь, пожалуйста, нам с тобой кофе, а Рите — апельсиновый сок. Помнишь ее любимый рецепт?
— Да. Она с утра в такую жару любит смесь в равных пропорциях апельсинового и грейпфрутового. Со льдом.
— Приготовь, пожалуйста, кувшин. А вдруг и мы захотим. И приглашаю тебя вместе с Ритой. Раз она пришла, будет что-то интересное.
Прошло 10 минут.
— Доброе утро, Иоганн!
— Привет, Рита! Садись, выпей сок с печеньем и будем общаться. Что там случилось?
— Что случилось? Люди — идиоты!
— Ну… Должен заметить, ты меня не удивила! Самому все чаще хочется половине из них шею свернуть, но что делать? Так что все же случилось?
— После последней проблемы со смартфоном принца, ну помните, очередной троян на его Android, я рекомендовала ему сменить операционную систему вообще.
— И что? Сменили же.
— Сменили, но только под нашим давлением. А мы решили проверить, насколько уязвимы приложения под эту ОС.
— Судя по твоему виду, лучше б не пытались? Снова нашли неприятности?
— Ой, шеф! Вы называете это слишком мягко — неприятности. Я называю это куда страшнее! Кошмар! Черный и беспросветный. Мы проанализировали почти 3500 бесплатных и платных мобильных приложений в Google Play. И у 63% Android-приложений оказались уязвимости, при этом среднее количество проблем в каждом приложении составляет 39.
Проблемы затрагивают не только бесплатные приложения и игры, но также банковские и платежные программы. Самыми уязвимыми оказались программы из категории «Топ-бесплатные игры» — 96% из них содержали уязвимые компоненты. Следом идут «Топ-прибыльные» (94%) и банковские приложения (88%).
Всего было обнаружено более 3000 уникальных уязвимостей, которые выявлялись более 82 тыс. раз. В общей сложности 73% уязвимостей были впервые обнаружены более двух лет назад. Однако они все еще присутствуют!
— Погоди, то есть уязвимости обнаружены более двух лет назад, а вы все еще обнаруживаете их?
— Да! В том и проблема. Множество уязвимостей также было выявлено в образовательных приложениях (43%), ПО для повышения производительности (41%) и финансовых программах (39%). Причем большинство уязвимостей можно исправить, если разработчики позаботятся о проведении аудита.
— Но разработчики не проходят аудит? Я правильно понимаю?
— Увы, да.
— И что ты предлагаешь делать?
— Предлагаю обязать наших разработчиков проходить аудит раз в год! Мало того, запретить использовать в империи все финансовые приложения, не прошедшие аудит! А тем, кто прошел аудит, присваивать какой-то знак. Естественно, провести медиакомпанию. Ну а государственным компаниям запретить покупку софта, не прошедшего аудит!
— Н-да, этот разговор требует продолжения у императора и премьер-министра. Готовься. Срок — три дня. Будем докладывать вместе. Умеешь ты видеть проблему. Молодец!
А вы осознаете проблему безопасности приложений Android? Точно? Задумайтесь!
