80% приложений по-прежнему не являются достаточно безопасными, и ошибки в
коде могут сделать около половины всех приложений для Android небезопасными,
согласно последнему докладу компании Veracode.

Четвертый доклад State of Software Security Report охватил около 10 000
приложений — что в два раза больше, чем в предыдущем отчете — и в нем были
применены более строгие критерии анализа.

Около 8 из 10 приложений не соответствуют принятым стандартам, согласно
докладу, который констатировал наличие межсайтового скриптинга в 68% всех
веб-приложений и SQL-уязвимости в трети из них.

Доклад также впервые охватил мобильные приложения в связи с тенденцией к
ИТ-консумеризации на рабочих местах, и обнаружил, что разработчики в данной
области делают подобные же ошибки.

Более 40% проанализированных приложений Android имеют жестко заданные
криптографические ключи, сводя на нет любой механизм безопасности, который
зависит от конфиденциальности таких ключей.

Хакеры могут с легкостью декомпилировать приложение, скопировав исполняемый
файл с телефона, что свидетельствует о еще большей важности отсутствия такой
информации в приложении. Приложения Android особенно легко декомпилировать,
согласно докладу.

17% из всех Java приложений не для Android имели, по меньшей мере, один
экземпляр жестко заданных криптографических ключей, сообщил доклад.

"Результаты удручающе сходны с теми, которые мы наблюдали у веб-приложений,
особенно с использованием жестко заданных криптографических ключей", — сообщил
вице-президент Veracode EMEA Мэтт Пичи.

"Учитывая уникальное сочетание личной информации и доступа к корпоративным
системам, доступное для современных смартфонов, важно обеспечить, чтобы
приложения сам по себе не предоставляли хакеру легкий доступ ".



Оставить мнение