80% приложений по-прежнему не являются достаточно безопасными, и ошибки в
коде могут сделать около половины всех приложений для Android небезопасными,
согласно последнему докладу компании Veracode.
Четвертый доклад State of Software Security Report охватил около 10 000
приложений - что в два раза больше, чем в предыдущем отчете - и в нем были
применены более строгие критерии анализа.
Около 8 из 10 приложений не соответствуют принятым стандартам, согласно
докладу, который констатировал наличие межсайтового скриптинга в 68% всех
веб-приложений и SQL-уязвимости в трети из них.
Доклад также впервые охватил мобильные приложения в связи с тенденцией к
ИТ-консумеризации на рабочих местах, и обнаружил, что разработчики в данной
области делают подобные же ошибки.
Более 40% проанализированных приложений Android имеют жестко заданные
криптографические ключи, сводя на нет любой механизм безопасности, который
зависит от конфиденциальности таких ключей.
Хакеры могут с легкостью декомпилировать приложение, скопировав исполняемый
файл с телефона, что свидетельствует о еще большей важности отсутствия такой
информации в приложении. Приложения Android особенно легко декомпилировать,
согласно докладу.
17% из всех Java приложений не для Android имели, по меньшей мере, один
экземпляр жестко заданных криптографических ключей, сообщил доклад.
"Результаты удручающе сходны с теми, которые мы наблюдали у веб-приложений,
особенно с использованием жестко заданных криптографических ключей", - сообщил
вице-президент Veracode EMEA Мэтт Пичи.
"Учитывая уникальное сочетание личной информации и доступа к корпоративным
системам, доступное для современных смартфонов, важно обеспечить, чтобы
приложения сам по себе не предоставляли хакеру легкий доступ ".
