Эксперты AppSec Solutions с помощью платформы анализа защищенности мобильных приложений AppSec.Sting проанализировали 13 наиболее популярных в России приложений каршеринга и проката электро-самокатов, и обнаружили в них более 400 уязвимостей, причем 25 из них – высокого уровня.
Поскольку мобильные приложения для аренды автомобилей собирают большое количество персональных данных пользователей, включая фото паспорта и данные банковских карт, это может стать серьезной проблемой. Сервисы электро-самокатов, предлагаемых напрокат, также собирают личные данные пользователей, чтобы учитывать их в случае нарушения ПДД. Популярность аренды транспорта в России растет в сезон отпусков, так участники рынка отмечают рост спроса на аренду автомобилей 33% в период с июня по август (исследование «Островок В2В» - прим. авт)
- Одно из неприятных открытий – немало приложений хранят чувствительную информацию в открытом виде. Это распространенная проблема, которая открывает большие возможности для злоумышленников, - рассказал Никита Пинаев руководитель отдела анализа защищенности AppSec.Sting компании AppSec Solutions, - Еще одна часто встречающаяся уязвимость - недостаток в реализации детектов на скомпрометированную среду , который может быть использован для целевых атак на пользователей. Справедливости ради, отметим, что среди приложений для кар- и кик-шеринга есть и те, где серьезных уязвимостей мы не нашли.
Хранение и передача чувствительных данных в незащищенном виде – наиболее часто встречающиеся недостатки ПО среди приложений для транспорта. Весной команда AppSec.Sting уже проводила масштабное исследование первой сотни наиболее популярных мобильных приложений в категории «Транспорт», в которую вошли сервисы такси, навигаторы, приложения для пассажиров общественного транспорта. За 2024 год в этой категории было обнаружено 1818, из них 650 уровня critical и high.
Справка: AppSec Solutions — ведущий российский разработчик с экспертизой DevSecOps для создания безопасного программного обеспечения. В продуктовой линейке компании представлены решения для автоматизации задач выявления и устранения критических ошибок и уязвимостей. Сегодня это флагманские разработки: AppSec Sting (платформа анализа защищенности мобильных приложений), AppSec.Hub (платформа управления безопасной разработкой ПО), AppSec.Track (решение для предотвращения атак на цепочку поставок ПО), AppSec.Code( полноценная среда разработки программного обеспечения со встроенными функциями информационной безопасности), AppSecCoPilot ( ИИ-модель, способная в автоматическом режиме анализировать и сортировать уязвимости). Продукты компании используют компании из банковского, телекоммуникационного, логистического и других секторов экономики.
Читать статью
Поскольку мобильные приложения для аренды автомобилей собирают большое количество персональных данных пользователей, включая фото паспорта и данные банковских карт, это может стать серьезной проблемой. Сервисы электро-самокатов, предлагаемых напрокат, также собирают личные данные пользователей, чтобы учитывать их в случае нарушения ПДД. Популярность аренды транспорта в России растет в сезон отпусков, так участники рынка отмечают рост спроса на аренду автомобилей 33% в период с июня по август (исследование «Островок В2В» - прим. авт)
- Одно из неприятных открытий – немало приложений хранят чувствительную информацию в открытом виде. Это распространенная проблема, которая открывает большие возможности для злоумышленников, - рассказал Никита Пинаев руководитель отдела анализа защищенности AppSec.Sting компании AppSec Solutions, - Еще одна часто встречающаяся уязвимость - недостаток в реализации детектов на скомпрометированную среду , который может быть использован для целевых атак на пользователей. Справедливости ради, отметим, что среди приложений для кар- и кик-шеринга есть и те, где серьезных уязвимостей мы не нашли.
Хранение и передача чувствительных данных в незащищенном виде – наиболее часто встречающиеся недостатки ПО среди приложений для транспорта. Весной команда AppSec.Sting уже проводила масштабное исследование первой сотни наиболее популярных мобильных приложений в категории «Транспорт», в которую вошли сервисы такси, навигаторы, приложения для пассажиров общественного транспорта. За 2024 год в этой категории было обнаружено 1818, из них 650 уровня critical и high.
Справка: AppSec Solutions — ведущий российский разработчик с экспертизой DevSecOps для создания безопасного программного обеспечения. В продуктовой линейке компании представлены решения для автоматизации задач выявления и устранения критических ошибок и уязвимостей. Сегодня это флагманские разработки: AppSec Sting (платформа анализа защищенности мобильных приложений), AppSec.Hub (платформа управления безопасной разработкой ПО), AppSec.Track (решение для предотвращения атак на цепочку поставок ПО), AppSec.Code( полноценная среда разработки программного обеспечения со встроенными функциями информационной безопасности), AppSecCoPilot ( ИИ-модель, способная в автоматическом режиме анализировать и сортировать уязвимости). Продукты компании используют компании из банковского, телекоммуникационного, логистического и других секторов экономики.
Читать статью
