Android was in 2019 het meest kwetsbare platform, met een totaal van 414 gerapporteerde kwetsbaarheden. Dat blijkt uit een analyse van data uit de National Vulnerability Database van het Amerikaanse National Institute of Standards and Technology (NIST).
De analyse werd uitgevoerd door TheBestVPN, dat de cijfers voor de afgelopen twintig jaar in kaart bracht. Het aantal kwetsbaarheden in software is in die periode explosief toegenomen, van 894 in 1999 tot 12.174 in 2019. De piek was evenwel in 2018, toen 16.556 nieuwe kwetsbaarheden werden opgenomen in de National Vulnerability Database van NIST.
De meeste kwetsbaarheden werden vorig jaar aangetroffen in Android, 414 in totaal. Het mobiele OS van Google prijkte in de afgelopen vijf jaar maar liefst drie keer bovenaan de lijst. Ook in 2016 en 2017 was Android het meest kwetsbare platform, met respectievelijk 525 en 843 gemelde kwetsbaarheden.
Gekeken over de periode van de afgelopen twintig jaar strandt Android op de tweede plaats, met 2.563 gerapporteerde kwetsbaarheden. Overigens kwam de eerste versie van Android pas in 2008 op de markt. Debian Linux, dat eind 1993 voor het eerst verscheen, kende sinds 1999 het meeste kwetsbaarheden, 3.067 in totaal. De Linux-kernel (2.357), Mac OS X (2.212) en Ubuntu (2007) vervolledigen de top vijf.
Waar is Windows?
Het lijkt contra-intuïtief dat het Windows-besturingssysteem van Microsoft in deze top vijf ontbreekt, en dat is het ook. Dat komt doordat NIST de verschillende Windows-versies wél opsplitst, en dat voor andere besturingssystemen niet doet. Zo waren alleen al Windows 7 en Windows 10 samen goed voor 2.394 kwetsbaarheden in de voorbije twintig jaar. Daar moeten nog de cijfers voor Windows 8/8.1, Windows Vista, Windows XP, Windows 2000/ME en Windows 98 worden bijgeteld. Om nog te zwijgen over de Windows Server-edities.
Voor 2019 staan er drie Microsoft-producten in de top vijf meest kwetsbare softwareplatforms: Windows Server 2016 (357), Windows 10 (357) en Windows Server 2019 (351). Omwille van de omvang van Microsofts portfolio, staat het bedrijf ook bovenaan de lijst van softwareleveranciers met het meeste kwetsbaarheden in de voorbije twintig jaar.
Adobe Flash
De meest kritieke kwetsbaarheden bevinden zich dan weer in Adobe Flash Player. Dat wordt gebaseerd op de Common Vulnerability Scoring System (CVSS)-scores, die aan kwetsbaarheden worden toegewezen op een schaal van 0 tot 10, waarbij 10 het meest kritiek is. De kwetsbaarheden die in Adobe Flash Player werden aangetroffen, hebben een gewogen gemiddelde van 9,4.
Lees ook: Deze 10 kwetsbaarheden worden het meest misbruikt
Eén kwetsbaarheid in Adobe Flash Player, CVE-2018-15982, was bovendien ook de meest misbruikte bug van 2019 en heeft een kritieke CVSS-score van 9,8. Flash werd in 1996 gelanceerd door Adobe en won snel aan populariteit. Vandaag is de webtechnologie verouderd en zijn er betere alternatieven beschikbaar, zoals HTML5. Flash wordt evenwel nog steeds gebruikt voor legacy-toepassingen, al hebben verschillende browsers ondersteuning voor de technologie ondertussen standaard uitgezet en trekt Adobe eind dit jaar defintief de stekker uit de ontwikkeling ervan.
