O recém-publicado relatório da Agência Europeia para a Segurança das Redes e Informação (ENISA, na sigla em inglês) revela que o Android está no topo da lista de plataformas que registaram números elevados de vulnerabilidades críticas entre 2018 e 2019. Ao todo, foram descobertas 350 falhas de segurança no sistema operativo. No que toca a empresas informáticas, a ENISA indica que a Microsoft foi a mais afetada durante este período, com 600 vulnerabilidades encontradas. No segundo lugar do “pódio” segue-se a Qualcomm, com cerca de 380, e a Google ocupa a terceira posição, rondando as 370.

Top 20 de empresas e produtos informáticos que onde se registaram mais vulnerabilidades ao longo de 2018-2019
Top 20 de empresas e produtos informáticos que onde se registaram mais vulnerabilidades ao longo de 2018-2019 Créditos: ENISA

No que toca às vulnerabilidades mais populares ao longo dos dois anos, a ENISA destaca as CVE-2018-4878 e CVE-2019-0708, relativas aos sistemas operativos da Microsoft e Linux e ao programa Adobe Flash. Já a CVE-2018-8174, no topo da lista, é a falha de segurança mais registada no período em análise, estando relacionada ao Microsoft Windows Server.

Lista de CVEs mais populares entre 2018 e 2019
Lista de CVEs mais populares entre 2018 e 2019 Créditos: ENISA

A fonte principal de Common Vulnerabilities and Exposures (CVEs) é a National Vulnerability Database (NVD), sendo que são várias as organizações que a utilizam como uma “autoridade” no que toca à indicação das vulnerabilidades de cibersegurança mais conhecidas. No entanto, a ENISA verificou que algumas das CVEs encontradas noutras bases de dados de falhas de segurança que não estão atualizadas na NVD.

São várias as organizações que dependem apenas de uma fonte de informação relativamente à indicação das vulnerabilidades de cibersegurança, algo que se revela como uma estratégia pouco benéfica, pois pode vir a pôr em risco os seus sistemas. “Existem inconsistências e discrepâncias entre as diferentes fontes. Apesar de existir uma base de dados com mais autoridade neste domínio, isso não significa que a sua informação seja totalmente exata”, elucida a agência europeia.

Embora o Common Vulnerability Scoring System (CVSS), o padrão utilizado para avaliar o risco das ameaças de segurança encontradas por meio de uma pontuação de 0 a 10, seja capaz de apresentar referências que permitem aferir, perceber e comparar o impacto das vulnerabilidades, a ENISA indica que existem diferenças significativas entre a versão 3 e 2 deste sistema. As disparidades deram, por exemplo, origem a classificações diferentes numa mesma falha de segurança. A situação pode ter um impacto negativo na forma como as organizações fazem a gestão dos seus riscos e tomam decisões.

Top 10 das categorias com o maior de número de vulnerabilidades em 2018-2019
Top 10 das categorias com o maior de número de vulnerabilidades em 2018-2019 Créditos: ENISA

O relatório revela também que o top 10 das categorias com o maior de número de vulnerabilidades em 2018-2019 é liderado por web browsers, ultrapassando as 400 falhas registadas. Seguem-se os sistemas operativos, rondando as 300, e os sistemas de gestão de conteúdo, com cerca de 200. As vulnerabilidades verificas em navegadores online apresentam-se também como as mais graves. Mais de 200 dos casos ultrapassam uma pontuação de 7 na escala da CVSS, sendo considerados “críticos”.