75% dos apps para web possuem falhas críticas, diz pesquisa

Os resultados são preocupantes: foram encontrados, em média, 40 vulnerabilidades por aplicativo

São Paulo - O estudo do N-Stalker Labs, laboratório de investigação da N-Stalker, especializada em segurança de aplicações web, analisou mais de mil aplicativos web, em organizações de diferentes segmentos da indústria, sendo 50% US/Canada, 30% Europa e 20% de outros países, em 2012 e 2013.

Os resultados são preocupantes: foram encontrados, em média, 40 vulnerabilidades por aplicativo; 75% dos aplicativos possuíam falhas críticas e 50% tinham pelo menos uma falha no padrão aberto e disponível para desenvolvedores, o Open Web Application Security Project – OWASP. A maior incidência de vulnerabilidades foi encontrada no comércio eletrônico.

Segundo o pesquisador e CTO da N-Stalker, Thiago Zaninotti, que coordenou a pesquisa, em todas as aplicações existiam oportunidade de melhorias na segurança. Mesmo assim, 60% das organizações só realizaram testes depois de incidentes e, destas, 20% já sabiam dos problemas antes dos testes. “Percebemos que há problemas em toda a fase de desenvolvimento dos aplicativos web,” comenta.

As três principais vulnerabilidades encontradas nos apps foram: cross-site scripting ou XSS (refletido e baseado na especificação DOM ou modelo de objetos de documentos, da W3C que padroniza a www); exposição de informações sensíveis e controle de acesso insuficiente.

Zaninotti explica que as vulnerabilidades XSS ativam ataques maliciosos ao permitir a manipulação de páginas web e a injeção de instruções de script que são executadas no computador do próprio usuário.

“A exploração de vulnerabilidade cross-site (XSS) permite que atacantes executem scripts no navegador de usuários para obter dados confidenciais, sequestrar sessões, redirecioná-los para sites maliciosos etc.”, explica e acrescenta: “a segunda vulnerabilidade mais encontrada em apps expõe informações sensíveis como dados de cartões de crédito e de credenciais de autenticação, o que permite roubar a identidade de usuários, fraudar cartões de crédito, entre outros crimes. Já o controle de acesso insuficiente pode facilitar o acesso a perfis de usuários sem a necessidade de credenciais ou até mesmo a funcionalidades administrativas dos aplicativos, permitindo o roubo de dados sensíveis ou confidenciais”, finaliza o pesquisador.

Obrigado por ler a EXAME! Que tal se tornar assinante?


Tenha acesso ilimitado ao melhor conteúdo de seu dia. Em poucos minutos, você cria sua conta e continua lendo esta matéria. Vamos lá?


Falta pouco para você liberar seu acesso.

exame digital

R$ 4,90/mês
  • R$ 14,90 a partir do segundo mês.

  • Acesse quando e onde quiser.

  • Acesso ilimitado ao EXAME Invest, macroeconomia, mercados, carreira, empreendedorismo e tecnologia.
Assine

exame digital anual

R$ 129,90/ano
  • R$ 129,90 à vista ou em até 12 vezes. (R$ 10,83 ao mês)

  • Acesse quando e onde quiser.

  • Acesso ilimitado ao EXAME Invest, macroeconomia, mercados, carreira, empreendedorismo e tecnologia.
Assine

Já é assinante? Entre aqui.

Veja também