Исследование уязвимостей мобильных приложений

Уязвимости
мобильных приложений

исследование

май 2026 г.

Об исследовании

Мобильная безопасность сегодня превращается из частной задачи в стратегический приоритет. Быстрое развитие цифровых сервисов и переход компаний к мобильным каналам взаимодействия с клиентами повышают риск компрометации данных и финансовых потерь.

Уязвимости в мобильных приложениях напрямую влияют на устойчивость бизнеса и соответствие требованиям комплаенса. Наше исследование демонстрирует реальные масштабы проблемы, классифицирует типовые уязвимости в различных отраслях.

Методология

Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки.

Эксперты оценивали входящие в ТОП-100 каждой категории приложения на 74 вида уязвимостей и исследовали возможные векторы атак.

1 269

приложений Android

19

категория приложений

74

вида уязвимостей

Платформа

Безопасность приложений проверялась с помощью AppSec.Sting — платформы автоматизированного анализа защищенности мобильных приложений.

Ключевые цифры 2025 года

48 843 уязвимости было обнаружено в 1 269 приложениях. 84 % мобильных приложений на платформе Android имеют уязвимости критического и высокого уровня. Наличие уязвимостей критического уровня опасно тем, что они позволяют злоумышленнику получить полный контроль над приложением, системой или инфраструктурой, вплоть до прав администратора.

62,8%

Хранят данные от сторонних сервисов в открытом виде

90%

Содержат уязвимости критического уровня

89,9%

Хранят чувствительную информацию в исходном коде приложения

30,4%

Используют небезопасно настроенную конфигурацию сетевого взаимодействия

Содержат уязвимости высокого уровня

94%

Уязвимости по уровню критичности

Мобильные приложения демонстрируют не единичные уязвимости, а устойчивый профиль риска по всем уровням критичности. Речь не об ошибках отдельных разработчиков: уязвимости системно присутствуют в наиболее массовых и востребованных приложениях — от игровых платформ и стриминговых сервисов до финансовых приложений, которыми ежедневно пользуются миллионы человек.

Выделяют уровни критичности уязвимости — степень серьезности проблем безопасности с учетом потенциальных рисков.

19 120

Критический уровень

— самые опасные уязвимости: злоумышленники могут проэксплуатировать их без доступа к аккаунту или участия пользователя и заполучить контроль над системой
3 988

Высокий уровень

— уязвимости, которые угрожают безопасности данных: могут привести к их утечке, потере или блокировке
7 370

Средний уровень

— проблемы, которыми злоумышленникам нелегко воспользоваться, но при определенных условиях они также могут поставить под угрозу конфиденциальность, целостность или доступность данных
3 467

Низкий уровень

— уязвимости с минимальными рисками. Их сложно использовать, и даже при успешной атаке ущерб будет небольшой.
14 898

Уровень инфо

— это, скорее, замечания к качеству защиты. Они не несут прямой угрозы, но показывают, что в безопасности приложения есть пробелы и зоны для улучшения.

СКАЧАТЬ

Уязвимости приложений

Узнайте больше, загрузив полное исследование. 

Сервисы для личного использования

Бизнес-приложения

Приложения для бизнеса

Навигация и транспорт

Игры

Книги и справочники

Финансы

Онлайн-ритейл и маркетплейсы

Доставка еды и продуктов

СМИ

Образовательные платформы

Стриминговые платформы

Доски объявлений

Медицинские сервисы

Отдых и путешествия

Букмекерские компании

Цифровые сервисы и телеком

Онлайн-телевидение

Семья
и дети

Стиль
жизни

Домашние питомцы

Михаил Синельников

Руководитель центра безопасности контейнерной среды, РСХБ-Интех

В ФинТехе мы наблюдаем явный тренд на платформизацию отрасли, что делает защиту мобильных приложений и данных особенно актуальной. Применение методологии Shift-Left, то есть перенос вопросов безопасности на самые ранние стадии разработки ПО, позволяет выявлять и устранять критические уязвимости еще на начальном этапе, что, в свою очередь, значительно экономит ресурсы бизнеса. Комплексный подход к DevSecOps — от использования инструментов SAST/DAST до автоматизации с помощью ASPM — для нас неотъемлемая история.

Илья Шаров

Руководитель центра практик DevSecOps МТС Web Services

В успехе реализации DevSecOps главную роль играет и будет играть команда, вне зависимости от размера компании, где внедряются практики.
При этом ключевым вектором развития разработки безопасного ПО считаю сбор телеметрии и повышение связанности разработки и эксплуатации. Здесь отдельное место в свое время займет направления AI-агентов. В совокупности это позволит обмениваться аномалиями и повысить скорость реагирования на них.

Роман Морозов

Руководитель по информационной безопасности, Capital Group

Мобильное приложение для нас — это ключевой помощник клиента, как в момент покупки, так уже и после заселения в ЖК, поэтому его безопасность — это не отдельная задача, а часть общей стратегии. Да и в целом, экосистема крупного девелопмента сегодня строится на безопасном ПО от BIM-моделирования объектов до мобильных приложений для клиентов. «Конструкция» должна быть надежной и защищенной, и здесь помогают принципы DevSecOps. Вопрос кибербезопасности становятся актуальнее с каждым годом, и сегодня мы уже говорим о необходимости уделить достаточно внимания LLM Security, поскольку искусственный интеллект очень быстро встраивается в бизнес-процессы.

Читайте в исследовании

Возможные векторы атак: данные о типах киберугроз и распространенности возможных уязвимостях

Уязвимости: описание рисков для безопасности мобильных приложений и их критичности

Рекомендации по устранению: рекомендации экспертов для эффективной защиты от релевантных угроз

Детальные выводы

Экосистема Appsec Solutions

Контроль и проверки безопасности
AppSec.Wave | SAST (статический анализ безопасности кода)
AppSec.Track | OSA\SCA (анализ сторонних компонентов)
AppSec.Sting | MAST (анализ защищенности мобильных приложений)
AppSec.GenAI | AI Security (анализ защищенности ИИ-моделей)

Управление и прозрачность
AppSec.Hub | ASPM (управление процессами DevSecOps)
AppSec.Code | VCS (Git-контроль версий исходного кода)

Boost-безопасности и защита
AppSec.Cryptex | App Shielding (защита приложений от реверс-инжиниринга)
AppSec.CoPilot | AI-Powered Security (AI-инженер для снижения ложных сработок)

Ресурсы

Исследования
Статьи
Релизы
Обзор решений

Компания

О команде
Партнеры
Пресса о нас
Мероприятия

Контакты

БЦ Фили-Град, 121087, Москва, Береговой пр-д., 5к 1
+7 (495) 620-63-36

inbox@appsec.global

Аккредитованная ИТ-компания