【IT168 调查报告】近日IEEE发表了一份报告,直接炮轰如Stack Overflow这样的社区,为无经验的、低技术能力的开发者和程序员提供了开发便利,从而导致了APP应用开发的低安全性。
报告中指出Android代码中的漏洞,包括但不限于不安全的数据存储,未受保护的组件间通信,破坏的TLS实施以及违反最低特权的行为,已经使全球的隐私泄露日益猖獗。
IEEE研究人员推测,APP应用程序的发展会催生更多的安全问题,因为它越来越多地允许无经验的、低技术能力的开发者和程序员来开发复杂和敏感的应用程序。报告特别指出了如Stack Overflow之类的互联网资源被指责为促进由缺乏经验的开发人员和程序员,复制/粘贴的不安全解决方案。
在本文中,IEEE的研究人员首次系统地分析了信息资源的使用如何影响代码安全性。他们首先调查了295个在Google Play市场上发布的应用程式开发人员,了解如何使用资源解决与安全相关的问题。
根据调查结果,与54名Android开发人员(学生和专业人员)进行了实验室研究,其中参与者在时间限制下编写了安全和隐私相关代码。参与者被赋予四个条件选其一:自由选择资源,仅限Stack Overflow,仅限官方Android文档或仅限于书籍。那些被允许使用Stack Overflow的参与者产生的安全代码远远低于使用官方Android文档或书籍的安全代码,而使用官方Android文档的参与者的功能代码比使用Stack Overflow的功能代码少得多。
为了评估Stack Overflow作为资源的质量,我们调查了参与者在研究过程中访问的139个线程,发现只有25%的线程有助于解决分配的任务,只有17%的用户包含安全的代码段。为了获得关于我们参与者在实验室研究中写的安全和不安全代码普遍程度的实际实况,我们静态分析了Google Play中20万个应用程序的随机抽样,发现93.6%的应用程序至少使用了一个API。
▲
还发现,参与者发生的许多安全错误也出现其他方面,也可能源于使用Stack Overflow来解决编程问题。总而言之,我们的结果证实,API文档是安全的,但很难使用,而诸如Stack Overflow之类的非正式文档更易于访问,但往往导致不安全。考虑到时间限制和经济压力,相信Android开发人员将会继续选择最容易使用的资源,但是我们的研究结果表明APP应用开发确实需要安全但可用的文档。
报告全文:http://ieeexplore.ieee.org/document/7546508/?reload=true