La firma Veracode ha publicado un estudio dónde se extraen varias conclusiones acerca de las vulnerabilidades en el software. La más impactante es que más del 80% de aplicaciones móviles para iOS tienen fallos en el cifrado. Estas cifras son muy altas y el informe se puede descargar desde el sitio web de Veracode. La fuente de información utilizada para la generación del reporte ha sido una plataforma que la firma tiene en la nube, la cual ha analizado más de 1,5 billones de líneas de código fuente. Tras el análisis de este código han podido llevar a cabo un diagnóstico y detección de ciertas carencias en el software.
Los resultados del informe van más allá de las vulnerabilidades criptográficas, pero si nos centramos en lo que se puede encontrar en el informe sobre el tema es sorprendente. Existe una alta prevalencia de problemas criptográficos en iOS y Android. Cómo se puede ver en la siguiente imagen existe un gran número de vulnerabilidades criptográficas sobre las apps de estos sistemas.
Figura 1: Listado Top 10 errores criptográficos en apps |
Además, el informe habla de las vulnerabilidades más genéricas según el contexto de CWE y el MITRE. Incluso en el informe se puede ver como se hace un análisis de los lenguajes que pasan los test de OWASP y el porcentaje de éxito. El test es pasado en un 44% por Objective-C, el lenguaje de iOS. Hay que detallar que este resultado es el segundo mejor, solamente por detrás de C/C++, que tiene un 60%. El propio Android o Javascript se encuentran por detrás en este ranking.
Figura 2: Resultados de OWASP para los lenguajes |
En definitiva, un interesante reporte que se ha presentado hace unos días y que muestra la evolución de los riesgos y vulnerabilidades en lenguajes y plataformas. Los resultados en el tema criptográfico hacen reflejar que algo no se está haciendo bien por parte de los desarrolladores y que se debe mejorar. Seguiremos atentos en Seguridad Apple a estos informes que reflejan las mejoras o no del mundo del desarrollo seguro.
No hay comentarios:
Publicar un comentario