Otte af 10 applikationer er usikre

Artiklen blev oprindeligt publiceret den 8/12/2011

En test af næsten 10.000 applikationer viser, at 80 procent dumper en sikkerhedstest.

Firmaet Veracode udfører automatiske test af sikkerheden i applikationer. Gennem halvandet år har firmaet testet 9.910 applikationer. Tre fjerdedele af applikationerne er web-applikationer.

Testresultaterne viser, at otte ud af 10 applikationer ikke består testen. Det skyldes især to udbredte typer af sårbarheder i web-applikationer: Cross-site scripting og SQL-indsætning. 57 procent af alle sårbarheder i web-applikationerne var af typen cross-site scripting.

Når det gælder sårbarheder, der lader en angriber afvikle programkode, er der flest hos kommercielle softwareudbydere. Egenudviklet software og programmer baseret på open source har færre af disse sårbarheder.

Det forklarer Veracode med, at de kommercielle applikationer stadig skrives i sprog som C, C++ og Objective C, hvor programmøren selv skal holde styr på arbejdslageret. Der er langt færre af disse fejl, når man bruger ikke-kompilerede sprog.

Testen har også kigget på et mindre antal apps til Android. En udbredt sårbarhed her er, at applikationerne anvender krypteringsnøgler, der er indkodet i dem. Det betyder, at hvis de først bliver knækket, har uvedkommende adgang til alle de data, der er kodet med dem.

Links