70% ứng dụng cho điện thoại, máy tính tồn tại lỗ hổng bảo mật liên quan đến sử dụng nguồn mở

  • 26/05/2020
  • 15:22

Khoảng 70% các ứng dụng cho điện thoại, máy tính đang được sử dụng ngày nay có ít nhất một lỗ hổng an ninh xuất phát từ việc sử dụng thư viện nguồn mở.
Theo báo cáo an ninh phần mềm hàng năm của Veracode, các thư viện mã nguồn mở bao gồm kho lưu trữ mã tập trung miễn phí, cung cấp các ứng dụng được tạo sẵn cho các nhà phát triển. Tuy nhiên, các thư viện nguồn mở này cũng tồn tại nhiều rủi ro.
Các nhà nghiên cứu đã kiểm tra 351.000 thư viện trong 85.000 ứng dụng và thấy rằng các thư viện nguồn mở là rất phổ biến. Ví dụ như hầu hết các ứng dụng JavaScript chứa hàng trăm thư viện nguồn mở, một số ứng dụng bao gồm hơn 1.000 thư viện khác nhau. Ngoài ra, hầu hết các ứng dụng đều có cùng một bộ thư viện cốt lõi.
Báo cáo chỉ ra rằng do việc sử dụng lại các thư viện cốt lõi này trong ứng dụng, dẫn tới việc khi thư viện tồn tại lỗ hổng sẽ khiến hàng trăm ứng dụng có thể bị khai thác. Nguồn mở đang là xu thế hiện nay, giúp các nhà phát triển phần mềm nhanh chóng xây dựng công cụ, ứng dụng. Tuy nhiên, việc thiếu nhận thức về các thư viện nguồn mở đang được sử dụng ở đâu và như thế nào và các yếu tố rủi ro của chúng là một vấn đề lớn mà các nhà phát triển cần quan tâm.
Veracode-ThreatList.png
Các ứng dụng được viết bởi Swift, .NET, Go và PHP tồn tại nhiều lỗ hổng nhất do sự phổ biến của ngôn ngữ. Về mặt số lượng ứng dụng có lỗ hổng, ngôn ngữ Swift của Apple tồn tại ít lỗ hổng nhất nhưng mức độ của các lỗ hổng này lại ở mức cao, trong khi đó ứng dụng viết bằng .NET có ít lỗ hổng ở mức cao so với Swift nhưng về mức độ phổ biến của .NET thì gấp 17 lần.
Ngôn ngữ Go có tỷ lệ cao các thư viện có lỗ hổng, nhưng tổng số lỗ hổng thấp trên mỗi thư viện riêng lẻ. Và PHP có tỷ lệ thư viện tồn tại lỗ hổng cao hơn Go.
Veracode nhận thấy rằng Cross-Site Scripting (XSS) là loại lỗ hổng phổ biến nhất được tìm thấy trong các thư viện nguồn mở – chiếm khoảng 30% trong số các lỗ hổng. Tiếp theo là insecure deserialization (23,5%) và vượt qua kiểm soát truy cập (20,3%).
Cũng theo báo cáo, hầu hết các ứng dụng chứa các thư viện tồn tại lỗ hổng (chiếm khoảng 75%) có thể được giải quyết bằng một bản cập nhật mà không cần phải chuyển sang sử dụng các thư viện khác.

Theo: threatpost​
  • Nguồn tin: