Четвертый доклад State of Software Security Report охватил около 10 000 приложений - что в два раза больше, чем в предыдущем отчете - и в нем были применены более строгие критерии анализа.
Около 8 из 10 приложений не соответствуют принятым стандартам, согласно докладу, который констатировал наличие межсайтового скриптинга в 68% всех веб-приложений и SQL-уязвимости в трети из них.
Доклад также впервые охватил мобильные приложения в связи с тенденцией к ИТ-консумеризации на рабочих местах, и обнаружил, что разработчики в данной области делают подобные же ошибки.
Более 40% проанализированных приложений Android имеют жестко заданные криптографические ключи, сводя на нет любой механизм безопасности, который зависит от конфиденциальности таких ключей.
Хакеры могут с легкостью декомпилировать приложение, скопировав исполняемый файл с телефона, что свидетельствует о еще большей важности отсутствия такой информации в приложении. Приложения Android особенно легко декомпилировать, согласно докладу.
17% из всех Java приложений не для Android имели, по меньшей мере, один экземпляр жестко заданных криптографических ключей, сообщил доклад.
"Результаты удручающе сходны с теми, которые мы наблюдали у веб-приложений, особенно с использованием жестко заданных криптографических ключей", - сообщил вице-президент Veracode EMEA Мэтт Пичи.
"Учитывая уникальное сочетание личной информации и доступа к корпоративным системам, доступное для современных смартфонов, важно обеспечить, чтобы приложения сам по себе не предоставляли хакеру легкий доступ ".
Xakep.ru