Minst halvparten av de 50 mest populære Android-appene inneholder sårbarheter som er arvet gjennom uforsvarlig gjenbruk av programvarebibliotekter, melder IT News.
De viser til en rapport fra sikkerhetsselskapet Codenomicon som blir publisert senere denne uken. Codenomicon er for øvrig selskapet som for alvor ble kjente da de oppdaget Heartbleed-sårbarheten i OpenSSL i våres.
Foreløpige funn fra den siste undersøkelsen røper at noen av verdens mest suksessrike Android-apper sender persondata til tredjeparts annonsenettverk uten brukerens samtykke, ofte i klartekst.
1 av 10 sender også enhetens unike ID (IMEI-kode) eller GPS-koordinater til tredjepart, og i ett tilfellet lekket også brukerens telefonnummer, skriver IT News.
Videre skal over 30 prosent av appene overføre persondata i klartekst. Blant de som faktisk krypterer dataoverføringen fant forskerne at mange ikke følger «beste praksis» for kryptering.
Konklusjonen til forskerne er at utviklerne av disse appene ofte ikke er klar over hvilke sårbarheter som blir introdusert i koden de inkluderer.
Problemet, ifølge sikkerhetsekspert Olli Jarva i Codenomicon, er at «80 til 90 prosent av mobilapper» består av gjenbrukte programvarebibliotekter, som i hovedsak er utgitt som åpen kildekode under en fri lisens.
Dette er biblioteker som sparer utviklerne for mye tid ved at de slipper å finne opp hjulet på nytt. Men selv om bruken av åpen kildekode i teorien kan resultere i bedre kodekvalitet, ettersom modellen åpner for bidrag fra mange utviklere i et fellesskap, så viste de mange feilene i OpenSSL at slik er det ikke, mener han.
LES OGSÅ: Nettsikkerhet på dugnad?
Det er nødvendig å teste disse bibliotekene før de tas i bruk, mener Jarva, og viser til at det finnes hensiktsmessige verktøy som kan skanne binærkode i installasjonsfilene for å avdekke ”appenes faktiske egenskaper” på under et minutt.
Dessverre er kvalitetskontroll av sikkerhet i appene lavt på prioriteringslisten, da testing innebærer mer tid og følgelig høyerere kostnader for utviklerne og dermed dyrere løsninger for kunden.
Undersøkelsen skal bli interessant å lese når den foreligger senere denne uken. Ifølge IT News vil rapporten navngi og henge ut noen av verdens mest suksessrike utviklere for slepphendt tilnærming til sikkerhet.
Les også:
- [30.07.2014] Alvorlig ID-sårbarhet funnet i Android
- [22.04.2014] Heartbleed: hvorfor gjør vi fortsatt slike feil?
- [15.04.2014] Nettsikkerhet på dugnad?
- [12.04.2014] – NSA har utnyttet Heartbleed