Эксперты назвали небезопасный софт с открытым кодом

Эксперты компании «Ростелеком-Солар», специализирующейся на кибербезопасности, провели исследование (.pdf) защищенности популярных приложений с открытым исходным кодом для ПК.

«Анализ 10-ти open-source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывают доступ ко всем данным пользователей, которые хранятся на компьютерах в незашифрованном виде. При этом абсолютное большинство людей не шифруют свои данные на ПК», — говорится в сообщении «Ростелеком-Солар».

В рамках исследования были отобраны приложения в категориях «браузеры», «офисные пакеты», «графические редакторы», «текстовые редакторы», «программы восстановления данных», «редакторы диаграмм», «программы расширенного поиска файлов и папок в Windows», «программы для очистки компьютера» и «эмуляторы видеоигр».

В исследовании приняли участие приложения Brave Browser, LibreOffice, Krita, Notepad++, TestDisk & PhotoRec, GIMP, Dia, Search Everything, BleachBit и RetroArch.

Анализ безопасности кода приложений осуществлялся автоматически с помощью Solar appScreener — российского программного продукта для проверки защищенности приложений.

«По результатам автоматизированного сканирования лидером рейтинга защищенности open source-приложений для ПК является программа для восстановления данных TestDisk & PhotoRec. Она не содержит критических уязвимостей в коде и при этом имеет минимальное количество уязвимостей среднего уровня среди всех исследованных приложений», — говорится в исследовании. (Программа PhotoRec предназначена для восстановления удаленных файлов и идет в комплекте с программой для восстановления разделов диска TestDisk.)

Чуть большее число уязвимостей средней критичности было обнаружено в приложении GIMP — графическом редакторе, представляющем собой бесплатный аналог Adobe Photoshop.

При этом «неожиданно слабые результаты» продемонстрировал популярный браузер с открытым исходным кодом Brave Browser, который по состоянию на осень 2020 года имеет в активе 20 млн ежемесячных пользователей и до 8 млн ежедневных. «В просканированном ядре браузера критические уязвимости в коде встречаются 15 раз, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищенности. Это обстоятельство не позволяет считать данное приложение безопасным для использования», — пишут авторы исследования.

Самые низкие показатели защищенности отмечены у популярного эмулятора видеоигр для ПК с открытым исходным кодом RetroArch. По результатам исследования, программа имеет «наибольшее количество вхождений критических уязвимостей».

«Для исследованного свободного ПО характерны такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования, пустые пароли, указанные в явном виде конфиденциальные данные. Эти уязвимости несут серьезную угрозу данным пользователей на тех компьютерах, на которых это ПО установлено. В целом, результаты проверки наглядно демонстрируют, в каких приложениях активно используются заимствованные из сторонних библиотек части кода, а какие программы написаны разработчиками максимально собственными силами. В последнем случае количество уязвимостей и НДВ в коде заметно ниже, и, соответственно, выше защищенность пользовательских данных, к которым приложение имеет доступ», — отметил директор центра решений безопасности ПО компании «Ростелеком-Солар» Даниил Чернов.

Автор:	Softodrom.ru
Дата:	08.12.2020 20:19