Эксперты AppSec Solutions проверили ТОП-100 мобильных приложений для путешествий и нашли 1336 уязвимостей. Из них почти 30% относятся к категории «высокий уровень риска», что может привести к утечкам чувствительных данных и навредить пользователям или компании-владельцу.
Часто встречающиеся проблемы:
🔹 Некорректное хранение токенов сторонних сервисов, что может теоретически открыть злоумышленнику доступ к данным с помощью стороннего сервиса. Таких токенов в приложениях для путешествий было найдено более ста.
🔹 Формирование Intent (задачи), то есть объекта, который служит для связи между компонентами мобильного приложения. Данные из сторонних источников могут привести к формированию Intent с вредными элементами, и сделать работу приложения непредсказуемой.
"Кроме технических атак, туристы сталкиваются с частыми фишинговыми угрозами, например — рассылками мошеннических приглашений на поддельные сайты бронирования. Отличить такие ресурсы от настоящих можно лишь по незначительным деталям, таким, как доменное имя или сертификат безопасности. Подобные схемы обычно направлены на хищение денег и конфиденциальных данных пользователей. "— пояснил Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
💡 Чтобы не стать жертвой таких схем в майские праздники (и не только), проверяйте адрес сайта перед оплатой, не переходите по подозрительным ссылкам, будьте осмотрительными при использовании незащищенных сетей Wi-Fi, особенно в аэропортах, фудкортах, парках и транспорте.