Bugcrowd: в 2020 году опасные уязвимости стали выявляться на 65% чаще

Bugcrowd: в 2020 году опасные уязвимости стали выявляться на 65% чаще

Bugcrowd: в 2020 году опасные уязвимости стали выявляться на 65% чаще

За 12 месяцев количество отчетов о найденных уязвимостях, подаваемых через платформу Bugcrowd, увеличилось в полтора раза. Число находок критической степени угрозы за тот же период возросло на 65%. Операторы краудсорс-сервиса полагают, что эта тенденция вызвана пересмотром отношения к кибербезопасности из-за участившихся атак в разных сферах хозяйственной деятельности.

Резкий рост активности злоумышленников, наблюдаемый в этом году, объясняется расширением площади атаки: из-за COVID-19 организации начали массово переводить сотрудников на удаленную работу и ускорили темпы переноса деловых операций в облако. По оценке ВОЗ, с начала пандемии частота атак на ее персонал и количество мошеннических рассылок увеличились в шесть раз, а атаки программ-шифровальщиков и использование новых векторов атаки стали наблюдаться в семь раз чаще.

В этих условиях бизнес вынужден активнее стимулировать баг-хантеров, способных оказать помощь в определении новых рисков. По данным Bugcrowd, общий объем выплат за найденные уязвимости в уходящем году ежеквартально возрастал в среднем на 15-20%. Больше всех готовы платить ИТ-компании — их премии почти в пять раз выше, чем в других вертикалях. Самая дорогая находка обошлась заказчику более чем в 200 тыс. долларов.

Количество отчетов о багах в ИТ-секторе в период с января по октябрь возросло на 24% в сравнении с 2019 годом, а предельно опасные находки стали встречаться почти в три раза чаще. Поиск брешей в банковских сервисах тоже заметно расширился: во II квартале финансовые организации удвоили суммы вознаграждений.

Число отчетов об уязвимостях в API и IoT-устройствах, поданных в рамках программ Bugcrowd, в целом выросло в два раза, в Android-устройствах — более чем в три раза. Наиболее часто баг-хантеры находили ошибки в реализации контроля доступа и XSS-бреши.

Примечательно, что восемь из десяти топовых багов, найденных в уходящем году, числились также в прошлогодних отчетах. По всей видимости, большинство организаций пока плохо справляется с известными рисками.

При открытии программ на Bugcrowd первые находки обычно объявляются в течение недели, а то и быстрее. В таких сферах, как бытовые услуги и СМИ, исследователи зачастую находят уязвимости меньше, чем за сутки. В госсекторе и автомобилестроении эти сроки составляют пару дней, но уязвимости там, как правило, сопряжены с большим риском.

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru