Studie zu sicherer Software-Entwicklung

Webanwendungen und Android Apps anfällig für gängige Angriffstechniken

| Redakteur: Stephan Augsten

Ob Webanwendung oder Android App – vielen Programmierern mangelt es bei der Entwicklung an Security Skills.
Ob Webanwendung oder Android App – vielen Programmierern mangelt es bei der Entwicklung an Security Skills.

Viele Entwickler von Web-Applikationen schreiben noch immer Code, der anfällig für gängige Angriffstechniken ist. Eine Analyse des Software-Testers Veracode hat ergeben, dass gut 80 Prozent der untersuchten Webanwendungen anfällig für Remote-Code- und SQL-Injection oder Cross-Site Scripting sind. Und auch Android Apps wiesen vermeidbare Schwachstellen auf.

Fast 10.000 Web-Applikationen hat das Software-Testing-Unternehmen Veracode in den vergangenen 18 Monaten im Auftrag seiner Kunden untersucht. Fast drei Viertel der Anwendungen waren firmenintern entwickelt worden, der Rest entstammte verschiedensten externen Quellen. Hierunter fallen unter anderem Open-Source-Projekte, kommerzielle Software und extern beauftragte Anwendungen.

Die Ergebnisse der Schwachstellen-Prüfung wurden nun im Rahmen des „State of Software Security Report: Volume 4“ veröffentlicht. Demnach hatten die meisten Programmierer grundlegende Fehler begangen, was Veracode zu dem Schluss führt, dass Schulungen zu sicherer Anwendungsentwicklung noch immer nicht an der Tagesordnung sind.

Besonders ernüchternd war, dass die Anwendungen vornehmlich auf gängige Attacken wie SQL- und Remote-Code-Injektion sowie Cross-Site Scripting geprüft wurden. Matt Peachey, Vizepräsident EMEA bei Veracode, warnt eindringlich vor solchen Anfälligkeiten: „Die größten Hacks und Datenverluste, beispielweise unter der Federführung von Anonymous und LulzSec, basieren auf derart geläufigen Fehlern.“

Intern entwickelte Anwendungen schnitten dabei am besten ab: 17 Prozent der Anwendungen bestanden die Security-Tests im ersten Versuch. Etwas dürftiger fiel das Ergebnis bei kommerzieller sowie Open-Source-Software aus, hier konnten noch zwölf Prozent die erste Schwachstellen-Prüfung erfolgreich durchlaufen. Im Falle der outgesourcten Projekte lag die Erfolgsquote nur noch bei sieben Prozent.

Android Apps auf dem Prüfstand

Zum ersten Mal führt Veracode im Sicherheitsreport auch eine kleine Liste von Android Apps auf. „Sie machen zwar nur ein Prozent der insgesamt betrachteten Anwendungen aus, doch dies reicht aus, um einige Schlussfolgerungen zu ziehen“, kommentiert Peachey. Die wichtigste Entdeckung war, dass 42 Prozent der Android Apps hart kodierte kryptographische Schlüssel beinhalten, die sich verhältnismäßig einfach extrahieren lassen.

Ein Drittel der Apps überträgt außerdem Informationen, die als „möglicherweise sensibel“ einzustufen sind. Die Veracode-Forscher weisen allerdings darauf hin, dass eine entsprechende Klassifizierung schwierig ist, ohne den genauen Kontext und den Sinn einer App zu kennen.

Der Report unterstreicht, dass mobile Plattformen zwar gereift sind, zugehörige Apps aber die Vertraulichkeit, Integrität und Verfügbarkeit negativ beinflussen können. Das größte Problem ist laut Peachey, dass Android-Entwickler bei der Veröffentlichung ihrer Updates nicht mit Google Schritt halten können. „Darüber hinaus haben etliche App-Entwickler gar nicht die Zeit, um sich Security Skills anzutrainieren.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 30874890 / Softwareentwicklung)