Новость дня: В Москве отменили удаленку для школьников

Эксперты назвали небезопасный софт с открытым кодом



Исходный код


Эксперты компании «Ростелеком-Солар», специализирующейся на кибербезопасности, провели исследование (.pdf) защищенности популярных приложений с открытым исходным кодом для ПК.

«Анализ 10-ти open-source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывают доступ ко всем данным пользователей, которые хранятся на компьютерах в незашифрованном виде. При этом абсолютное большинство людей не шифруют свои данные на ПК», — говорится в сообщении «Ростелеком-Солар».

В рамках исследования были отобраны приложения в категориях «браузеры», «офисные пакеты», «графические редакторы», «текстовые редакторы», «программы восстановления данных», «редакторы диаграмм», «программы расширенного поиска файлов и папок в Windows», «программы для очистки компьютера» и «эмуляторы видеоигр».

В исследовании приняли участие приложения Brave Browser, LibreOffice, Krita, Notepad++, TestDisk & PhotoRec, GIMP, Dia, Search Everything, BleachBit и RetroArch.

Анализ безопасности кода приложений осуществлялся автоматически с помощью Solar appScreener — российского программного продукта для проверки защищенности приложений.

«По результатам автоматизированного сканирования лидером рейтинга защищенности open source-приложений для ПК является программа для восстановления данных TestDisk & PhotoRec. Она не содержит критических уязвимостей в коде и при этом имеет минимальное количество уязвимостей среднего уровня среди всех исследованных приложений», — говорится в исследовании. (Программа PhotoRec предназначена для восстановления удаленных файлов и идет в комплекте с программой для восстановления разделов диска TestDisk.)

Чуть большее число уязвимостей средней критичности было обнаружено в приложении GIMP — графическом редакторе, представляющем собой бесплатный аналог Adobe Photoshop.

При этом «неожиданно слабые результаты» продемонстрировал популярный браузер с открытым исходным кодом Brave Browser, который по состоянию на осень 2020 года имеет в активе 20 млн ежемесячных пользователей и до 8 млн ежедневных. «В просканированном ядре браузера критические уязвимости в коде встречаются 15 раз, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищенности. Это обстоятельство не позволяет считать данное приложение безопасным для использования», — пишут авторы исследования.

Самые низкие показатели защищенности отмечены у популярного эмулятора видеоигр для ПК с открытым исходным кодом RetroArch. По результатам исследования, программа имеет «наибольшее количество вхождений критических уязвимостей».

«Для исследованного свободного ПО характерны такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования, пустые пароли, указанные в явном виде конфиденциальные данные. Эти уязвимости несут серьезную угрозу данным пользователей на тех компьютерах, на которых это ПО установлено. В целом, результаты проверки наглядно демонстрируют, в каких приложениях активно используются заимствованные из сторонних библиотек части кода, а какие программы написаны разработчиками максимально собственными силами. В последнем случае количество уязвимостей и НДВ в коде заметно ниже, и, соответственно, выше защищенность пользовательских данных, к которым приложение имеет доступ», — отметил директор центра решений безопасности ПО компании «Ростелеком-Солар» Даниил Чернов.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
15.01.2021 16:41

Власти Москвы заказали отслеживание москвичей по MAC-адресам смартфонов

Однако из-за вышедших обновлений Android и iOS закупленные аппаратно-программные комплексы оказались бесполезными


14.01.2021 13:02

TikTok ввел ограничения для подростков

Видеосервис TikTok объявил о введении ряда ограничений для несовершеннолетних пользователей


08.01.2021 11:05

Российского хакера посадили на 12 лет в США

Как заявляли власти США, обвиняемый совершил самую крупную кражу данных клиентов банка в истории страны


06.01.2021 17:27

Пользователь Telegram рассказал, как вычислить местоположение других пользователей

В Telegram отказались выдать награду за найденную уязвимость в рамках программы bug bounty, поскольку уязвимостью ее не сочли


06.01.2021 16:36

Спецслужбы США рассказали об атаке «русских хакеров» на правительство

ФБР, АНБ и другие американские спецслужбы опубликовали совместное заявление о результатах расследования недавней масштабной хакерской атаки на государственные учреждения США


Популярное: Безопасность
07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


15.01.2021 16:41

Власти Москвы заказали отслеживание москвичей по MAC-адресам смартфонов

Однако из-за вышедших обновлений Android и iOS закупленные аппаратно-программные комплексы оказались бесполезными


14.01.2021 13:02

TikTok ввел ограничения для подростков

Видеосервис TikTok объявил о введении ряда ограничений для несовершеннолетних пользователей


03.10.2017 14:59

Найден метод обхода Защитника Windows

Однако в Microsoft заявили, что компания не видит проблемы в архитектуре безопасности и не будет исправлять уязвимость во встроенной антивирусной защите


29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


» Оставьте первым свой комментарий

Новости /
Безопасность /
Эксперты назвали небезопасный софт с открытым кодом
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2021 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика