Ростелеком-Солар отметил уязвимости open source-браузера Brave

Ростелеком-Солар отметил уязвимости open source-браузера Brave

Ростелеком-Солар отметил уязвимости open source-браузера Brave

Эксперты компании «Ростелеком-Солар» провели исследование защищенности популярных пользовательских приложений с открытым исходным кодом для ПК. Анализ 10-ти open-source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывают доступ ко всем данным пользователей, которые хранятся на компьютерах в незашифрованном виде. При этом абсолютное большинство людей не шифруют свои данные на ПК.

Рынок программного обеспечения с открытым исходным кодом находится на этапе бурного роста. Начиная с 2014 года, в комьюнити наблюдается ежегодный интенсивный приток участников: только в 2019 году к сообществу open source присоединилось более 1,3 млн новых авторов. С 2018 года мировые ИТ гиганты вроде Microsoft прекратили борьбу с открытым ПО и стали вносить свой вклад в развитие индустрии. По прогнозам мировых экспертов, к концу 2021 года объем использования продуктов с открытым исходным кодом в компаниях вырастет на 77% по сравнению с аналогичным периодом текущего года.

В связи с ростом популярности open source-приложений как в корпоративной, так и в пользовательской среде специалисты «Ростелеком-Солар» решили проверить уровень защищенности наиболее популярного свободного ПО для ПК в самых востребованных пользователями категориях с помощью инструмента Solar appScreener. Были отобраны приложения в категориях «браузеры», «офисные пакеты», «графические редакторы», «текстовые редакторы», «программы восстановления данных», «редакторы диаграмм», «программы расширенного поиска файлов и папок в Windows», «программы для очистки компьютера» и «эмуляторы видеоигр». Таким образом, в исследовании приняли участие приложения Brave browser, LibreOffice, Krita, Notepad++, TestDisk & PhotoRec, GIMP, Dia, Search Everything, BleachBit и RetroArch.

По результатам автоматизированного сканирования лидером рейтинга защищенности open source-приложений для ПК является программа для восстановления данных TestDisk & PhotoRec. Она не содержит критических уязвимостей в коде и при этом имеет минимальное количество уязвимостей среднего уровня среди всех исследованных приложений. Чуть большее число уязвимостей средней критичности содержит бесплатный аналог Adobe Photoshop – приложение GIMP. Уровень защищенности обеих программ Solar appScreener оценил в 4.2 балла.

Неожиданно слабые результаты – 1.3 балла из 5.0 – продемонстрировал популярный браузер с открытым исходным кодом Brave Browser, который по состоянию на июнь 2020 года имеет в активе 15 млн ежемесячных пользователей и до 5 млн ежедневных. В просканированном ядре браузера критические уязвимости в коде встречаются 15 раз, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищенности. Это обстоятельство не позволяет считать данное приложение безопасным для использования.

Впрочем, самые низкие показатели защищенности отмечены у популярного эмулятора видеоигр для ПК с открытым исходным кодом RetroArch (0.8 балла из 5.0). Программа имеет наибольшее количество вхождений критических уязвимостей.

«Для исследованного свободного ПО характерны такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования, пустые пароли, указанные в явном виде конфиденциальные данные. Эти уязвимости несут серьезную угрозу данным пользователей на тех компьютерах, на которых это ПО установлено. В целом, результаты проверки наглядно демонстрируют, в каких приложениях активно используются заимствованные из сторонних библиотек части кода, а какие программы написаны разработчиками максимально собственными силами. В последнем случае количество уязвимостей и НДВ в коде заметно ниже, и, соответственно, выше защищенность пользовательских данных, к которым приложение имеет доступ», – подчеркнул директор центра решений безопасности ПО компании «Ростелеком-Солар» Даниил Чернов.

Сервисы для анализа были отобраны согласно позициям в обзоре «11 лучших программ с открытым исходным кодом в 2020 году», а также исходя из количества скачиваний мобильных версий данных приложений в Google Play и App Store. В свое исследование эксперты «Ростелеком-Солар» включили 10 приложений из 11-ти, представленных в данном обзоре, обойдя вниманием программу для создания цифровых Lego-моделей Stud.io ввиду специфичности ее применения узкой аудиторией.

Анализ безопасности кода приложений осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа.

 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

APT-атак стало на 27% больше: под ударом госсектор и промышленность

С начала 2025 года специалисты «Информзащиты» зафиксировали рост числа APT-атак на корпоративные сети на 27% по сравнению с тем же периодом 2024 года. Основные причины — переход компаний в облако, всё больше микросервисов, постоянные утечки у поставщиков и рост «умного» вредоносного софта. Вдобавок — случаи инсайдерских сливов информации.

APT (Advanced Persistent Threat) — это не просто массовая рассылка зловредов. Это целевые и длительные атаки, которые чаще всего проводят хорошо организованные группы, способные скрытно проникать в систему, надолго там закрепляться и собирать важную информацию.

Такие команды обычно работают системно, с чётким финансированием и профессиональным инструментарием.

«В арсенале APT-группировок — эксплойты нулевого дня, продвинутые вредоносы, методы социальной инженерии. Их сложно поймать и ещё сложнее вытеснить из инфраструктуры. Поэтому организациям важно выстраивать постоянный мониторинг и высокий уровень кибербезопасности», — отмечает Сергей Сидорин, руководитель третьей линии аналитиков Центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты».

Чаще всего APT-атаки бьют по:

  • государственным структурам — 43%,
  • промышленным предприятиям — 21%,
  • финансовым организациям — 14%,
  • компаниям из ТЭК — 10%,
  • космической отрасли — 4%,
  • ИТ-сектору — 3%,
  • оборонке — 3%,
  • научным учреждениям — 2%.

Чтобы снизить риски, эксперты советуют не надеяться только на антивирус. Нужен комплексный подход: от межсетевых экранов и IDS/IPS-систем до современных решений вроде EDR и XDR, которые отслеживают активность на устройствах. Важно также правильно выстраивать контроль доступа: никакого избыточного количества прав, а на критических системах — обязательно двухфакторная аутентификация. Ну и обучение сотрудников — как всегда, на первом месте.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru