Мобільний та сторонній ризик: як застаріле тестування залишає вас

Ризики для ланцюгів постачання програмного забезпечення з мобільних додатків збільшуються, значною мірою через відсутність глибшої видимості в їхній кодувальній базі, виявило нове дослідження.

Дослідники Zimperium відзначили в 2025 Глобальний звіт про мобільну загрозу що понад 60% найкращих компонентів Android та iOS сторонніх компонентів або наборів для розробки програмного забезпечення (SDK) постачаються як попередньо комплексні бінарні пакети, часто з частковими або відсутніми програмними рахунками матеріалів (SBOMS).

Навіть коли вихідний код існує, за словами дослідників, розробники зазвичай тестують версії з відкритим кодом, але розгортають складені бінарні бінарні кошти на швидкість, залишаючи те, що кораблі та запускають без перевірки. Це дозволяє зловмисникам отруїти мобільний ланцюг поставок з шкідливими або підробленими компонентами, обхід традиційних інструментів статичного тестування та складання програмного забезпечення (SCA), пояснюється звіт.

Без глибшого бінарного аналізу головоломка, яка є сучасним програмним забезпеченням, стає ідеальною мішенню для експлуатації. Дізнайтеся більше про ризик від стороннього мобільного розвитку-і як потрапити на нього.

[ See white paper and more: Assess and Manage Third-Party Software Security Risk ]

Відсутність видимості є ключовою

У звіті пояснюється, що сторонні бібліотеки та рамки широко використовуються в розробці мобільних додатків, а команди розробки часто вибирають фірмові попередньо складені бінарні файли для критичної функціональності, такі як аутентифікація, платежі та шифрування, оскільки вони пропонують підтримку підприємства та швидша інтеграція.

Однак це продовжувалося, ці бінарні файли часто мають обмежений вихідний код та видимість залежності, що ускладнює оцінку їх поведінки чи постави безпеки. Ця відсутність прозорості вводить мовчазні вразливості, які традиційні інструменти безпеки намагаються виявити, створюючи сліпу пляму в ланцюзі поставок мобільних додатків, які зловмисники можуть використовувати

Традиційні робочі процеси CI/CD часто покладаються на сканування вихідного коду та інструменти SCA, які не можуть оцінити поведінку сторонніх бібліотек, коли доступ до вихідного коду недоступний, зазначений у звіті. Ця відсутність видимості стає ще небезпечнішою, враховуючи, що 90% Кодових баз включають компоненти понад 10 версій, що стоять за останнім випуском.

Більшість власних компонентів із закритим кодом несуть відповідальність за критичні функції, такі як аутентифікація або платежі, тому вплив збоїв у безпеці тут може бути дорогим. “Підприємства стають все більше і більше залежать від мобільних додатків для виконання основних бізнес -операцій”, – написали дослідники. “Вони використовуються для управління ланцюгами поставок, звітності, функцій офісу, управління витратами та HR, щоб назвати кілька категорій. З повсюдністю програм у підприємстві, що зростає, так і ризик, який вони становлять для даних підприємства”.

Ерік Швейк, директор стратегії кібербезпеки в Salt Security, заявив, що суб'єкти загрози знаходять мобільні додатки, що привабливі з ряду причин.

“Ці програми часто керують конфіденційними даними користувачів, такими як фінансові дані, особиста інформація та облікові дані аутентифікації, до яких зазвичай доступні та передані через API. Їх всюдисуща присутність на особистих пристроях робить їх основними цілями для масштабних кібератак”.
—Eric Schwake

Schwake сказав, що недоліки дизайну та розробки, а також невпевнена практика API та непослідовні заходи безпеки, призводять до вразливості, які можна використовувати.

Потреба в безперервній перевірці програмного забезпечення

У звіті про мобільну загрозу зазначалося, що команди з питань безпеки, ризику та дотримання норм часто не мають видимості в ризиках, що спричиняють мобільні додатки, особливо коли покладаються виключно на нотатки випуску або документацію постачальників. Адам Браун, керуючий консультант з програмного забезпечення Black Duck, сказав, що виробники програмного забезпечення та організації, які покладаються на мобільні пристрої, повинні розуміти ризик архітектури програмного забезпечення та впровадження коду на цих пристроях та вжити заходів. “В іншому випадку слабкі сторони, запроваджені на цьому етапі, призводять до вразливості і, отже, порушують”, – сказав він.

Браун сказав, що організації досягають успіху. “Відповідно до моделі безпеки будівництва в зрілості [BSIMM] 15, спостерігається збільшення кількості організацій на 22%, що створюють SBOM для розгортання програмного забезпечення, та збільшення на 67% організацій, які проводять аналіз композиції програмного забезпечення на сховищах коду “, – сказав він.

Учасники BSIMM також захищають код, який вони публікують, щоб покращити дотримання регуляторних норм, сказав Браун. “Захисна діяльність” захистити цілісність коду “збільшилася приблизно на 20% від BSIMM14 до BSIMM15, і” Захист коду “збільшився приблизно на 45%.”

Звіт закликав до постійної перевірки додатків для зменшення ризику в мобільному домені. Без розуміння, що надається безперервним перевіркою додатків, критичні зміни в конфіденційності, комунікації та поведінці дотримання можуть залишатися непоміченими.

У випадках, коли ризик пов'язаний з сторонньою залежністю ланцюга поставок, навіть постачальник програмного забезпечення може не знати, не залишаючи згадки в документації чи СБОМ, зазначається у звіті. Прикладом є нова версія додатка для обміну повідомленнями в iOS, проаналізованому дослідниками звіту, яка показала функціональність камери та мікрофона, додана через два місяці після виходу попередньої версії. Але історія версій у магазині перелічила лише слово “вдосконалення”.

Дослідники звіту також виявили, що програмне забезпечення для Android, пов'язане з фінансами та продуктивністю, з мільйонами завантажень помилково поставленими з прапором налагодження, включеним у виробництві, залишаючи їх вразливими до атаки виконання, перевірки коду та несанкціонованого доступу до даних.

“Історія, яку ці статистичні дані розповідають нам, стосується важливості перевірки сторонніх додатків, не лише як запобіжних заходів, а як стратегічного імперативу для підприємств. Без належних заходів щодо оцінки безпеки та конфіденційності для мобільних застосувань, ризик виникнення конфіденційних витоків даних, будь то інстинентне чи випадкове, може безпосередньо впливати на організаційну цілісність, довіру клієнтів та відповідність регуляторів”.
—2025 Звіт про мобільну загрозу

Перехід до стратегії управління ризиками третьої частини

Сьогодні самий мобільний пристрій став критичною точкою вразливості, зазначається у звіті. Оскільки зловмисники все частіше орієнтуються на основне мобільне середовище, щоб обходити захисні сили на рівні програмного забезпечення, гарантуючи, що програма не працює на безпечному, некомпромісному пристрої, вже не є обов'язковим. Застарілі операційні системи, вкорінені або джейлбробки, пристрої, інструментальні інструменти для маніпулювання програмним забезпеченням – та зловмисні інфекції – створюють сліпі місця, які традиційні інструменти для тестування безпеки (AST) не можуть пом'якшити самостійно.

Джейсон Сороко, старший віце -президент з продуктів Sectigo, SAI, що однією з причин, що деякі люди люблять вкоренити свій пристрій Android або Jailbreak, що їх пристрій iOS – це можливість мати програму для завантаження.

“Здійснення обхідних об'їздів Офіційного процесу перевірки App Store, залишаючи пристрої, що піддаються зловмисному програмному забезпеченні, несанкціонованому коду та іншими ризиками безпеки. З Apple тепер змушеною в Європі дозволити завантаження безпеки, зафіксуючи безпеку кураторних додатків, розмивається, збільшуючи потенціал для компрометених додатків та системних вразливих пристрій”.
-Jason моє плече

Звіт закликав організації прийняти третій підхід на основі ризику до мобільної безпеки для протидії експлуатації вразливих пристроїв, погано захищених додатків та сліпих місць у сторонніх ланцюгах поставок для доступу до конфіденційних даних та систем.

Приклади включають:

• Обробка ризиків на рівні пристроїв, таких як Minging (Fhishing, орієнтований на мобільний прилад), застарілі операційні системи та додатки, завантажені на бічні, як інтеграл для мобільних результатів безпеки кінцевої точки.
• Постійно перевірка сторонніх додатків на пристроях працівників для оцінки їх фактичної поведінки, крім заявлених функціональних можливостей, з кожним оновленням, гарантуючи, що вони не стануть прихованими загрозами для підприємства.
• Переконайтесь, що розроблені програми ретельно оцінюються до випуску, щоб забезпечити найкращі практики, галузеві стандарти та підтвердити захист від очікуваних орієнтирів.
• Вбудовування безпеки протягом усього життєвого циклу розробки мобільних додатків, а не лише на рівні коду та оцінки програм для дотримання цих вимог до випуску
• Перехід від реактивних елементів управління до проактивної видимості, включаючи двійковий аналіз, захист часу виконання та атестацію пристроїв.

Дослідники глобальної мобільної загрози 2025 року написали:

“Мобільна безпека більше не є необов’язковою або периферійною. Зараз це стратегічний стовп управління ризиками підприємства”.

Виходити за рамки традиційного тестування є важливим

Управління стороннім ризиком є ​​критичним сьогодні-і це вимагає повторного навчання. Звіт про розслідування даних про порушення даних 2025 року (DBIR) є останньою, яка переорієнтується на ризиковану увагу до безпрецедентного зростання порушень, що випливають із сторонніх організацій.

*** Це блог, що працює в мережі безпеки, з блогів (Main), автор Джон П. Мелло-молодший .. Прочитайте оригінальну публікацію за адресою: https://www.reversinglabs.com/blog/mobile-and-third-party-how-legacy-testing-leaves-you-exposed