¿Su aplicación móvil está expuesta a vulnerabilidades de OpenSSL?

El 25 de octubre de 2022, OpenSSL comenzó a notificar previamente a las organizaciones de dos vulnerabilidades críticas en OpenSSL 3.0.x. En el lado positivo, OpenSSL 3.0 aún no se había implementado ampliamente y, aún mejor, el 1 de noviembre de 2022, las dos vulnerabilidades se degradaron de crítica a alta. Sin embargo, inmediatamente después de otras vulnerabilidades recientes de gran impacto como Log4j y los devastadores impactos generalizados del anterior OpenSSL Vulnerabilidad «Heartbleed» a partir de 2014, los defensores se pusieron en alerta máxima… y nosotros también.

Encontramos 1529 instancias de OpenSSL en 608 aplicaciones.

Aplicaciones móviles populares con OpenSSL

Analizamos 3845 aplicaciones móviles muy populares de nuestro MobileRiskTracker™ para ver si alguna aplicación móvil contenía una dependencia directa o transitoria de OpenSSL y, de ser así, si esa versión era vulnerable. En general, las aplicaciones de Android representan aproximadamente el 90 % de las aplicaciones móviles populares con OpenSSL e iOS al 10 %.

La buena noticia es que no encontramos aplicaciones móviles expuestas a las vulnerabilidades recientes de OpenSSL 3.0.x que se acaban de anunciar. Pero hay problemas sustanciales con las aplicaciones móviles que usan versiones anteriores de OpenSSL que tienen vulnerabilidades conocidas. Específicamente, encontramos 1529 instancias de OpenSSL en 608 aplicaciones (~16 %) con los siguientes problemas:

  • El 98 % de las versiones de OpenSSL en estas aplicaciones móviles populares tienen vulnerabilidades divulgadas públicamente
  • El 86% de las versiones vulnerables tienen una severidad ALTA
  • El 30% de las versiones de OpenSSL en aplicaciones móviles populares no son totalmente compatibles
  • El 57 % no cuenta con soporte o requiere soporte premium (rama OpenSSL 1.0.2)

Profundizando en estas aplicaciones móviles utilizando nuestro análisis móvil de Lista de materiales de software (SBOM), descubrimos que OpenSSL se incluye con mayor frecuencia a través de SDK de terceros (identificados como dependencias transitorias). Nota Cifrado SQL es la dependencia más común que incluye la biblioteca OpenSSL. Enumero muchos más detalles sobre las principales bibliotecas y dependencias en mi VLOG personal en SBOM aquí.

También es interesante observar las aplicaciones móviles afectadas por industria vertical:

Cómo detectar OpenSSL en su aplicación móvil

Hay dos categorías principales de aplicaciones móviles que debe considerar verificar:

  1. Aplicaciones que construyes
  2. aplicaciones que usas

Nuestra plataforma NowSecure proporciona un análisis automatizado de las aplicaciones móviles que crea y usa, utilizando análisis binarios para identificar vulnerabilidades y generar dinámicamente SBOM también. Entonces, si es una empresa y está preocupado por su cadena de suministro de software de aplicaciones móviles, puede solicitar una Demostración de la plataforma NowSecure o obtenga 10 informes SBOM gratuitos.

Para obtener más información sobre los SBOM, vaya a mis tutoriales recientes que he estado compartiendo aquí. Para una inmersión más profunda en cómo ejecuté el análisis anterior y para aprender cómo realizar su propio análisis de la aplicación móvil OpenSSL, vaya a mi VLOG y mire Cómo detectar vulnerabilidades OpenSSL v3.0 y Heartbleed en aplicaciones móviles.



Fuente del artículo

Deja un comentario