25 jaar aan kwetsbaarheden in software
Het rapport is samengesteld uit data aangeleverd tussen 1988 en 3012 aan de CVE-database en de NV-database. Het rapport bevat data die op bepaalde punten opvalt. Allereerst de toename van kwetsbaarheden die jaarlijks stapsgewijs toenam. Tussen 2004 en 2006 nam de toename zelfs flinke sprongen, om geleidelijk minder sterk toe te nemen tot 2007. Na 2007 nam het aantal ontdekte kwetsbaarheden ineens af.
Een afname van softwarelekken
Het rapport legt niet uit waarom softwarelekken vanaf 2007 afnemen. Mogelijk heeft het te maken met maatregelen die Microsoft trof. In 2007 schroefde het bedrijf namelijk de beveiliging van Windows Vista op.
Vanaf 2007 nam het aantal aangetroffen kwetsbaarheden af. Bron: Sourcefire Vulnerability Team
iOS, Android, Windows en BlackBerry
Wat smartphones betreft bevat iOS verreweg de meeste lekken. 81 procent van het aantal lekken is in het besturingssysteem van Apple gevonden. Android neemt een tweede plaats in met 24,9 procent. Daarachter volgen Windows Phone (14,6 procent) en BlackBerry (11,4 procent). Opvallend, want hoewel het aandeel van Android laatste jaren flink steeg, is het aantal gemelde lekken juist afgenomen. De hoofdonderzoeker Yves Younan zegt dat dit te maken heeft met het gesloten karakter van iOS. Juist doordat Android meer open is en het gemakkelijk is om malafide software voor het besturingssysteem te schrijven en in de Play Store te plaatsen, proberen cybercriminelen lekken te vinden in de iOS-software zelf.
iOS kent verreweg de meeste kwetsbaarheden. Opvallend gezien het stijgende marktaandeel van Android. Bron: Sourcefire Vulnerability Team
Kritisch
Het rapport laat zien dat veiligheid en het voorkomen van kwetsbaarheden in software nog sterk voor verbetering vatbaar is. Lang niet alle kwetsbaarheden worden ontdekt en als dat wel zo is is het vaak te laat. Dit betekent dat de gevonden resultaten in het rapport zijn gebaseerd op kwetsbaarheden die we op dit moment kennen, en ook enkel vanuit de CVE- en NV-database. De conclusie van het rapport: software die we dagelijks gebruiken kan kwetsbaar zijn. Wellicht kwetsbaarder dan wijzelf, en de onderzoekers, beseffen. Dat is niet iets om bang voor te zijn, maar wel iets om rekening mee te houden.