Спецпроекты

«Ростелеком-Солар» проверил на уязвимость популярные приложения с открытым исходным кодом

Безопасность Новости поставщиков Открытое ПО Мобильность

Эксперты компании «Ростелеком-Солар» провели исследование защищенности популярных пользовательских приложений с открытым исходным кодом для ПК. Анализ десяти open source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывает доступ ко всем данным пользователей, которые хранятся на компьютерах в незашифрованном виде. При этом абсолютное большинство людей не шифруют свои данные на ПК.

Рынок программного обеспечения с открытым исходным кодом находится на этапе бурного роста. Начиная с 2014 г., в сообществе наблюдается ежегодный интенсивный приток участников: только в 2019 г. к сообществу open source присоединилось более 1,3 млн новых авторов. С 2018 г. мировые ИТ-гиганты вроде Microsoft прекратили борьбу с открытым ПО и стали вносить свой вклад в развитие индустрии. По прогнозам мировых экспертов, к концу 2021 г. объем использования продуктов с открытым исходным кодом в компаниях вырастет на 77% по сравнению с аналогичным периодом текущего года.

В связи с ростом популярности open source приложений как в корпоративной, так и в пользовательской среде специалисты «Ростелеком-Солар» решили проверить уровень защищенности наиболее популярного свободного ПО для ПК в самых востребованных пользователями категориях с помощью инструмента Solar appScreener. Были отобраны приложения в категориях «браузеры», «офисные пакеты», «графические редакторы», «текстовые редакторы», «программы восстановления данных», «редакторы диаграмм», «программы расширенного поиска файлов и папок в Windows», «программы для очистки компьютера» и «эмуляторы видеоигр». Таким образом, в исследовании приняли участие приложения Brave browser, LibreOffice, Krita, Notepad++, TestDisk & PhotoRec, GIMP, Dia, Search Everything, BleachBit и RetroArch.

По результатам автоматизированного сканирования лидером рейтинга защищенности open source приложений для ПК является программа для восстановления данных TestDisk & PhotoRec. Она не содержит критических уязвимостей в коде и при этом имеет минимальное количество уязвимостей среднего уровня среди всех исследованных приложений. Чуть большее число уязвимостей средней критичности содержит бесплатный аналог Adobe Photoshop – приложение GIMP. Уровень защищенности обеих программ Solar appScreener оценил в 4,2 балла.

Неожиданно слабые результаты – 1,3 балла из 5,0 – продемонстрировал популярный браузер с открытым исходным кодом Brave Browser, который по состоянию на июнь 2020 г. имеет в активе 15 млн ежемесячных пользователей и до 5 млн ежедневных. В просканированном ядре браузера критические уязвимости в коде встречаются 15 раз, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищенности. Это обстоятельство не позволяет считать данное приложение безопасным для использования.

Впрочем, самые низкие показатели защищенности отмечены у популярного эмулятора видеоигр для ПК с открытым исходным кодом RetroArch (0,8 балла из 5,0). Программа имеет наибольшее количество вхождений критических уязвимостей.

«Для исследованного свободного ПО характерны такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования, пустые пароли, указанные в явном виде конфиденциальные данные. Эти уязвимости несут серьезную угрозу данным пользователей на тех компьютерах, на которых это ПО установлено. В целом, результаты проверки наглядно демонстрируют, в каких приложениях активно используются заимствованные из сторонних библиотек части кода, а какие программы написаны разработчиками максимально собственными силами. В последнем случае количество уязвимостей и НДВ в коде заметно ниже, и, соответственно, выше защищенность пользовательских данных, к которым приложение имеет доступ», – сказал директор центра решений безопасности ПО компании «Ростелеком-Солар» Даниил Чернов.

Сервисы для анализа были отобраны согласно позициям в обзоре «11 лучших программ с открытым исходным кодом в 2020 г.», а также исходя из количества скачиваний мобильных версий данных приложений в Google Play и App Store. В свое исследование эксперты «Ростелеком-Солар» включили 10 приложений из 11, представленных в данном обзоре, обойдя вниманием программу для создания цифровых Lego-моделей Stud.io ввиду специфичности ее применения узкой аудиторией.

Анализ безопасности кода приложений осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа.