Сказки о безопасности: Игры — не игрушки!

Сказки о безопасности: Игры — не игрушки!

— Доброе утро, Иоганн! К вам сегодня попросилась Рита. Я записала ее на 10-00.

— Спасибо, но зачем же на 10? Попроси ее заглянуть сейчас. И приготовь, пожалуйста, нам с тобой кофе, а Рите — апельсиновый сок. Помнишь ее любимый рецепт?

— Да. Она с утра в такую жару любит смесь в равных пропорциях апельсинового и грейпфрутового. Со льдом.

— Приготовь, пожалуйста, кувшин. А вдруг и мы захотим. И приглашаю тебя вместе с Ритой. Раз она пришла, будет что-то интересное.

Прошло 10 минут.

— Доброе утро, Иоганн!

— Привет, Рита! Садись, выпей сок с печеньем и будем общаться. Что там случилось?

— Что случилось? Люди — идиоты!

— Ну… Должен заметить, ты меня не удивила! Самому все чаще хочется половине из них шею свернуть, но что делать? Так что все же случилось?

— После последней проблемы со смартфоном принца, ну помните, очередной троян на его Android, я рекомендовала ему сменить операционную систему вообще.

— И что? Сменили же.

— Сменили, но только под нашим давлением. А мы решили проверить, насколько уязвимы приложения под эту ОС.

— Судя по твоему виду, лучше б не пытались? Снова нашли неприятности?

— Ой, шеф! Вы называете это слишком мягко — неприятности. Я называю это куда страшнее! Кошмар! Черный и беспросветный. Мы проанализировали почти 3500 бесплатных и платных мобильных приложений в Google Play. И у 63% Android-приложений оказались уязвимости, при этом среднее количество проблем в каждом приложении составляет 39.

Проблемы затрагивают не только бесплатные приложения и игры, но также банковские и платежные программы. Самыми уязвимыми оказались программы из категории «Топ-бесплатные игры» — 96% из них содержали уязвимые компоненты. Следом идут «Топ-прибыльные» (94%) и банковские приложения (88%).

Всего было обнаружено более 3000 уникальных уязвимостей, которые выявлялись более 82 тыс. раз. В общей сложности 73% уязвимостей были впервые обнаружены более двух лет назад. Однако они все еще присутствуют!

— Погоди, то есть уязвимости обнаружены более двух лет назад, а вы все еще обнаруживаете их?

— Да! В том и проблема. Множество уязвимостей также было выявлено в образовательных приложениях (43%), ПО для повышения производительности (41%) и финансовых программах (39%). Причем большинство уязвимостей можно исправить, если разработчики позаботятся о проведении аудита.

— Но разработчики не проходят аудит? Я правильно понимаю?

— Увы, да.

— И что ты предлагаешь делать?

— Предлагаю обязать наших разработчиков проходить аудит раз в год! Мало того, запретить использовать в империи все финансовые приложения, не прошедшие аудит! А тем, кто прошел аудит, присваивать какой-то знак. Естественно, провести медиакомпанию. Ну а государственным компаниям запретить покупку софта, не прошедшего аудит!

— Н-да, этот разговор требует продолжения у императора и премьер-министра. Готовься. Срок — три дня. Будем докладывать вместе. Умеешь ты видеть проблему. Молодец!

А вы осознаете проблему безопасности приложений Android? Точно? Задумайтесь!

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только