Ningún sistema operativo es inmune a tener fallos de seguridad. Incluso aquellos de código abierto como Android se ven afectados por diversos fallos que se descubren constantemente a pesar de que hay miles de personas revisando su código. Aunque sistemas como Android sean cada vez más seguros, seguirá habiendo vulnerabilidades, y una compañía ha recopilado cuáles son las más graves que podemos sufrir.
El proyecto, llamado Common Weakness Enumeration (CWE), recopila datos de fallos de seguridad de la base de datos Common Vulnerabilities and Exposures, más conocida como CVE, que cada año añade miles de bugs en todo tipo de sistemas y dispositivos.seguridad
Los fallos llevan agrupándose en categorías desde 2005, de tal manera que se puede saber cuáles son los más comunes para guiar el proceso de análisis y prueba. Sin embargo, a pesar de ir elaborando esta guía de forma continuada, desde 2011 no habían publicado el listado de las 25 vulnerabilidades más comunes. La agrupación de categorías no es la misma, y no se han incluido entrevistas con investigadores de seguridad como sí hicieron hace 8 años. Tampoco se han incluido algunas vulnerabilidades que han sido arregladas a nivel interno antes de ser publicadas, aunque esto le da más relevancia a los datos porque son las vulnerabilidades que se hacen públicas y las que al final acaban afectando a nuestros dispositivos.
Los 25 peores fallos que afectan más comunmente a nuestros dispositivos
Los fallos más comunes son los relacionados con el buffer de memoria. Este tipo de vulnerabilidades incluyen las de desbordamiento de buffer, que permite ejecutar código arbitrario en un sistema, y poder hacer modificaciones que requieren de mayores permisos. Por ejemplo, permiten acceder a datos de otros programas, o pueden hacer que el sistema se cuelgue.
Las segundas vulnerabilidades más comunes son las de cross-site scripting (XSS), que permite a un atacante inyectar código en una página web mediante scripts (normalmente en JavaScript).
Las terceras son las de validación de datos, donde los desarrolladores no tienen en cuenta algunas veces las repercusiones que puede tener que, por ejemplo, alguien pueda introducir números negativos en un carrito de la compra y ganar saldo en su cuenta para realizar compras en la web.
En cuarto lugar, encontramos una de las más sensibles directamente con el usuario: las de revelación de datos. Éstas se dan cuando un programa o aplicación revela accidentalmente información sensible, como mensajes, configuración, datos personales, etc.
En quinto lugar, tenemos la de “fuera de límite” (out-of-bounds), las cuales tienen su propia categoría a pesar de que muchas de ellas sean ocasionadas por desbordamientos de buffer, que son las más comunes como hemos visto antes.
