Половина Топ-50 приложений Android имеет уязвимости, связанные со сторонними библиотеками

У Android сложилась репутация часто сбоящей системы, по сравнению с iOS. И хотя это давно не так, от дурной славы трудно избавиться. Сбои и ошибки есть у всех, а недавнее исследование компании Codenomicon (именно она «ответственна» за обнаружение самой известной уязвимости последнего времени, Heartbleed) показало, что половина из Топ-50 приложений для Android имеет ошибки, вызванные сторонними библиотеками.

Использование сторонних компонентов — стандартная и нормальная практика, они позволяют просто и быстро расширять функциональность. Но к их внедрению в свои мобильные приложения необходимо подходить ответственно и вдумчиво. Если в библиотеке содержится ошибка, то она будет и в вашем приложении. Например, простой copy-paste кода криптографического компонента, без понимания происходящего, привел к многочисленным уязвимостям в WhatsApp, пишет Честер Висниевски, ведущий аналитик Sophos.

При этом разработчикам надо не только разбираться в том, как работает библиотека, но и поддерживать ее в актуальном состоянии, вовремя обновляя.

Компания представит свое исследование на Black Hat USA, крупнейшей конференции по компьютерной безопасности, которая пройдет 6-7 августа в Лас-Вегасе.