40% van de apps lekt data

Dat blijkt uit onderzoek van WhiteHat Security, een onderdeel van NTT dat zich richt op applicatiebeveiliging. Daarbij werd ook bekeken hoe lang de apps dit lek bevatten voordat het werd verholpen. Zeer veel apps blijken een zogeheten Window of Exposure te hebben van minstens een jaar, zo blijkt uit het rapport AppSec Stats Flash Volume 3.

Het gammelst zijn de apps in de sector fabricage. Daarvan bevatte 70% minstens één lek in de afgelopen twaalf maanden. Voor apps in de overheidssector geldt dat 67% minstens één zwakke plek bevat. Daardoor is de kans groot dat informatie wordt gelekt waarmee onder meer supplychainaanvallen gedaan kunnen worden op applicaties die met elkaar zijn verbonden.

Welbekende fouten

De meeste lekken betreffen welbekende zwakheden zoals het al genoemde lekken van informatie, insufficient session expiration, cross site scripting, insufficient transport layer protection en content spoofing.

Gemiddeld kostte het de makers van de apps 192 dagen om een kritiek lek te dichten, volgens de laatste cijfers uit maart 2021. Een maand daarvoor ging het nog een klein beetje sneller: in 189 dagen.

WhiteHat ziet als mogelijke oplossing voor een betere en snellere beveiliging van de apps dat de zwakke plekken per applicatie worden onderzocht en dat daarbij een holistische benadering wordt gehanteerd. De gevonden lekken zouden dan verholpen kunnen worden via changes in de configuratie en development controls. Voordelen daarvan zijn dat de beveiliging van deze apps in zijn geheel verbetert terwijl dat minder tijd vergt.