Jumătate dintre aplicaţiile populare Android din Top 50 conţin breşe de securitate, afirmă Codenomicon

Autori: Dorian Prodan, Liviu - Andrei Mihai 28.07.2014
Jumătate dintre aplicaţiile populare Android din Top 50 conţin breşe de securitate, afirmă Codenomicon

Codenomicon, compania care a publicat în primăvara acestui an primele informaţii despre breşa de securitate Heartbleed, afirmă că mai bine de jumătate din cele mai celebre 50 de aplicaţii Android conţin vulnerabilităţi software care au fost moştenite în urma preluării fără discernământ a codului sursă din alte biblioteci de funcţii. Compania afirmă că va publica datele complete ale acestui studiu în cursul acestei săptămâni, lăsându-le probabil producătorilor timp să-şi rezolve probleme înainte de a deveni publice.

Compania de securitate finlandeză afirmă că mai bine de jumătate din cele mai populare 50 de aplicaţii Android conţin vulnerabilităţi software, multe dintre acestea fiind moştenite în momentul în care dezvoltatorii software au apelat la biblioteci de funcţii gata scrise şi au reciclat codul-sursă fără a-l mai verifica.

Conform Codenomicon, jumătate dintre aplicaţiile populare din Top 50 transferă identificatorul unic specific fiecărui terminal Android către diferite reţele publicitare fără a avertiza utilizatorii, în timp ce 10 la sută dintre acestea trimit la fel de discret coordonatele geografice şi/sau identificatorul hardware IMEI. O zecime dintre aplicaţiile analizate se conectează la mai mult de o reţea publicitară şi, în final, o aplicaţie din cele 50 analizate a transmis fără ştirea utilizatorului numărul de telefon al cartelei SIM. În final, peste 30 de procente dintre aceste aplicaţii transmit date cu caracter personal în format text şi nu folosesc criptarea traficului, ceea ce le face vulnerabile la interceptări.

Şeful departamentului de analiză din cadrul companiei Codenomicon afirmă că între 80 şi 90 de procente din totalul aplicaţiilor Android reciclează cod-sursă din alte biblioteci de funcţii, multe dintre acestea fiind disponibile sub licenţă Open Source. Reprezentatul companiei afirmă că, deşi codul public Open Source poate fi inspectat şi corectat de orice dezvoltator software interesat, breşa de securitate Heartbleed a arătat că această încredere poate da greş şi că preluarea fără discernământ a codului-sursă străin poate provoca incidente neplăcute.

Compania afirmă că o parte din breşele de securitate descoperite în cadrul aplicaţiilor din Top 50 par a fi create în mod intenţionat, fie de către producătorii aplicaţiei, fie de cei care au scris bibliotecile software originale. Mai multe detalii vom avea însă în cursul acestei săptămâni, când Codenomicon va publica studiul complet.