Ростелеком-Солар отметил уязвимости open source-браузера Brave

Ростелеком-Солар отметил уязвимости open source-браузера Brave

Ростелеком-Солар отметил уязвимости open source-браузера Brave

Эксперты компании «Ростелеком-Солар» провели исследование защищенности популярных пользовательских приложений с открытым исходным кодом для ПК. Анализ 10-ти open-source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывают доступ ко всем данным пользователей, которые хранятся на компьютерах в незашифрованном виде. При этом абсолютное большинство людей не шифруют свои данные на ПК.

Рынок программного обеспечения с открытым исходным кодом находится на этапе бурного роста. Начиная с 2014 года, в комьюнити наблюдается ежегодный интенсивный приток участников: только в 2019 году к сообществу open source присоединилось более 1,3 млн новых авторов. С 2018 года мировые ИТ гиганты вроде Microsoft прекратили борьбу с открытым ПО и стали вносить свой вклад в развитие индустрии. По прогнозам мировых экспертов, к концу 2021 года объем использования продуктов с открытым исходным кодом в компаниях вырастет на 77% по сравнению с аналогичным периодом текущего года.

В связи с ростом популярности open source-приложений как в корпоративной, так и в пользовательской среде специалисты «Ростелеком-Солар» решили проверить уровень защищенности наиболее популярного свободного ПО для ПК в самых востребованных пользователями категориях с помощью инструмента Solar appScreener. Были отобраны приложения в категориях «браузеры», «офисные пакеты», «графические редакторы», «текстовые редакторы», «программы восстановления данных», «редакторы диаграмм», «программы расширенного поиска файлов и папок в Windows», «программы для очистки компьютера» и «эмуляторы видеоигр». Таким образом, в исследовании приняли участие приложения Brave browser, LibreOffice, Krita, Notepad++, TestDisk & PhotoRec, GIMP, Dia, Search Everything, BleachBit и RetroArch.

По результатам автоматизированного сканирования лидером рейтинга защищенности open source-приложений для ПК является программа для восстановления данных TestDisk & PhotoRec. Она не содержит критических уязвимостей в коде и при этом имеет минимальное количество уязвимостей среднего уровня среди всех исследованных приложений. Чуть большее число уязвимостей средней критичности содержит бесплатный аналог Adobe Photoshop – приложение GIMP. Уровень защищенности обеих программ Solar appScreener оценил в 4.2 балла.

Неожиданно слабые результаты – 1.3 балла из 5.0 – продемонстрировал популярный браузер с открытым исходным кодом Brave Browser, который по состоянию на июнь 2020 года имеет в активе 15 млн ежемесячных пользователей и до 5 млн ежедневных. В просканированном ядре браузера критические уязвимости в коде встречаются 15 раз, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищенности. Это обстоятельство не позволяет считать данное приложение безопасным для использования.

Впрочем, самые низкие показатели защищенности отмечены у популярного эмулятора видеоигр для ПК с открытым исходным кодом RetroArch (0.8 балла из 5.0). Программа имеет наибольшее количество вхождений критических уязвимостей.

«Для исследованного свободного ПО характерны такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования, пустые пароли, указанные в явном виде конфиденциальные данные. Эти уязвимости несут серьезную угрозу данным пользователей на тех компьютерах, на которых это ПО установлено. В целом, результаты проверки наглядно демонстрируют, в каких приложениях активно используются заимствованные из сторонних библиотек части кода, а какие программы написаны разработчиками максимально собственными силами. В последнем случае количество уязвимостей и НДВ в коде заметно ниже, и, соответственно, выше защищенность пользовательских данных, к которым приложение имеет доступ», – подчеркнул директор центра решений безопасности ПО компании «Ростелеком-Солар» Даниил Чернов.

Сервисы для анализа были отобраны согласно позициям в обзоре «11 лучших программ с открытым исходным кодом в 2020 году», а также исходя из количества скачиваний мобильных версий данных приложений в Google Play и App Store. В свое исследование эксперты «Ростелеком-Солар» включили 10 приложений из 11-ти, представленных в данном обзоре, обойдя вниманием программу для создания цифровых Lego-моделей Stud.io ввиду специфичности ее применения узкой аудиторией.

Анализ безопасности кода приложений осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа.

 

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru