Trzeba od razu postawić sprawę jasno: przygotowany przez CASTraport nie jest bezstronny. Firma utrzymuje się przede wszystkim zesprzedaży narzędzi programistycznych, służących do wykrywaniarozmaitych błędów w kodzie, które mogliby wykorzystać do swoichcelów hakerzy. Nie oznacza to jednak, że przedstawione dane, jaki wyciągnięte na ich podstawie wnioski, są nieprawdziwe czynieistotne.
Po analizie 1316 korporacyjnych aplikacji mobilnych – łącznie705 milionów linii kodu – okazać się miało, że odpowiednio 70%i 69% aplikacji należących do kategorii bankowość indywidualna iusługi finansowe podatna jest na ataki pozwalające na pozyskaniewrażliwych danych użytkowników. Sektor bankowy może się„pochwalić” też najgorszej jakości kodem. Choć aplikacje tegotypu nie są jakoś szczególnie złożone, są średnio o połowękrótsze od największej z przebadanych aplikacji, to jak twierdząanalitycy CAST, jest w nich najwięcej błędów walidacji danychwejściowych.
Co ciekawe, bardzo dobrze na tym tle wychodzą aplikacje pisane zapieniądze podatnika. 61% programów stworzonych przez pracującychdla rządu programistów było wolnych od usterek, tymczasem wśródaplikacji stworzonych przez niezależnych producentów oprogramowaniaodsetek ten wyniósł 12%.
Wyjaśnienie takiego stanu rzeczy, jest według Leva Lesokhina,wiceprezesa CAST, całkiem proste. *Tak długo, jak działy IT będąpoświęcały jakość kodu i bezpieczeństwo na rzecz dotrzymanianierealistycznych terminów, możemy się spodziewać kolejnych,zakrojonych na wielką skalę ataków, prowadzących do pozyskania iwykorzystania wrażliwych danych klientów *–twierdzi ekspert. Konsekwencje błędów w kodzie stają się poprostu coraz bardziej namacalne, o czym mogliśmy się przekonaćchoćby w kwietniu tego roku, gdy okazało się, że drobnybłąd w bibliotece OpenSSL, wykorzystywanej masowo doszyfrowania danych w Internecie, pozwala na łatwe odczytywaniepamięci atakowanych komputerów.
Wydaje się, że bezspecjalistycznych narzędzi trudno będzie sobie poradzić z takimibłędami – ludzkie oczy mogą już nie wystarczyć. Nawet taklubiane przez fanów wolnego oprogramowania Prawo Linusa, mówiąceże *jeśli mamy wystarczająco wiele oczu, to wszystkiebłędy są powierzchowne *niezawsze się sprawdza – niedawno odkryty przez członkówgoogle'owego zespołu Project Zero groźny (choć trywialny) błąd wstandardowej bibliotece C Linuksa znalazł się przecież w kodzieoglądanym wielokrotnie przez wybitnych programistów. Czego więcmożna się dopiero spodziewać w oprogramowaniu zamkniętym,sprawdzanym przez kilku korporacyjnych testerów, nudzących się wpracy między 9 a 17?
