Veracode-Kritik: Android-Programmierer basteln unsichere Apps

Schon vor zwei Jahren warf Veracode den Entwicklern vor, ziemlich schlecht programmierte Software hervorzubringen, mit der sich dann die IT-Admins und Security-Fachleute herumschlagen müssen (wir berichteten). In die Android-Kerbe schlugen vorigen Monat dann die Sicherheitsexperten von den Websense Labs, die in ihrem jüngsten Report vor den Risiken beim Einsatz von Android-Geräten in der Firma warnten (wir berichteten). Und nun streut der vierte »State of Software Security Report« von Veracode weiteres Salz in die Wunde der unsicheren Android-Programme. Für aussagekräftige Ergebnisse wurden annähernd 10.000 Apps untersucht.

Die Analyse sei dabei in die Tiefe gegangen, betont der Security-Spezialist. Das niederschmetternde Ergebnis: Acht von zehn Apps erfüllen keine akzeptablen Standards und seien damit alles andere als sicher. Allein 68 Prozent hätten CSS-Fehler (Cross Site Scripting). Ein Drittel der Kandidaten sei anfällig für SQL-Injektionen. Die Ergebnisse seien gleichermaßen niederschmetternd, ob es sich nun um mobile Apps, Web-Apps oder Firmen-Apps handele. »Da bekommt man Depressionen: Die Ergebnisse sind in allen Bereichen ähnlich schlecht«, kommentiert Veracode-Vizepräsident Matt Peachey.