В 2014 году сообщество OWASP — открытый проект обеспечения безопасности веб-приложений — впервые провело опрос и собрало статистику по уязвимостям мобильных приложений. Цель исследования — повысить уровень безопасности приложений и позволить разработчикам и компаниям принимать взвешенные решения на стадиях разработки и тестирования мобильных продуктов.
В результате опроса был сформирован список десяти наиболее частых рисков в обеспечении безопасности мобильных приложений. В тройку лидеров 2014-15 вошли:
- слабый контроль серверной части
- небезопасное хранение данных
- низкая защищенность передачи данных
В 2016 году был проведен повторный опрос, в котором приняли участие специалисты по тестированию на проникновение (38%), специалисты по информационной безопасности (35.2%), инженеры и разработчики в области безопасности (27%).
Обновленные результаты показали, что в течение двух лет разработчики активно работали над устранением основных уязвимостей, обозначенных в 2014 году. Так, удалось повысить защищенность кода и конфигурации на серверной части мобильного приложения. В то же время небезопасное хранение и передача данных остались на первых позициях рейтинга, что говорит о том, что компаниям-разработчикам только предстоит найти способы, гарантирующие уверенную защиту приложения от несанкционированного доступа.
Какие уязвимости вошли в ТОП 10 OWASP в 2016?
- M1 Некорректное использование платформы (новая)
- M2 Небезопасное хранение данных
- M3 Небезопасная передача данных
- M4 Небезопасная аутентификация
- M5 Слабая криптографическая стойкость
- M6 Небезопасная авторизация
- M7 Низкое качество клиентского кода (новая)
- M8 Модификация кода (новая)
- M9 Обратная разработка (новая)
- M10 Скрытая функциональность (новая)
Информационная безопасность – один из приоритетов компании «Точка качества». Мы высоко ценим результаты исследований OWASP и используем их при выявлении уязвимостей и оценке информационной безопасности мобильных продуктов наших клиентов.
