Мы проанализировали 790 мобильных приложений российских разработчиков из различных отраслей и выяснили, что 83% из них содержат уязвимости высокой и наивысшей степени критичности. Обнаруженные проблемы позволяют завладеть аккаунтами пользователей, получить доступ к персональным данным и настройкам, изменить их или использовать для таргетированных атак, хищения денежных средств или каких-либо иных целей.
В мобильных продуктах, отобранных для анализа, команда Стингрей Технолоджиз выявила 12 383 уязвимости разной степени критичности. Наибольшее число опасных проблем мы нашли в приложениях из следующих категорий: финансы (117), утилиты (96), развлечения (79), транспорт (64), социальная сфера (63), покупки (62). Полный текст исследования можно получить по этой ссылке.
Все мобильные приложения были скачаны из открытых источников, для анализа использовались программные продукты размером от 1,5 Мб. Исследование проводилось методом «черного ящика», то есть атакующий не имел доступа к исходному коду. Мы проверяли безопасность ПО с помощью Стингрей — платформы автоматизированного анализа защищенности мобильных приложений. Также наша команда оценивала каждую обнаруженную проблему с точки зрения критичности и изучала возможные векторы атак.
Подробно в рамках исследования были рассмотрены 20 уязвимостей из четырех категорий: сетевое взаимодействие, конфигурация приложений, хранение сертификатов и ключей, хранение чувствительной информации. При оценке уровня риска найденных ошибок мы учитывали сложность проведения потенциальных атак, а также степень их влияния на пользовательские данные и само приложение. Таким образом, были выделены пять уровней риска:
критичный (Critical) — 137 уязвимостей,
высокий (High) — 1 404,
средний (Medium) — 3 115,
низкий (Low) — 1 346
инфо (Info) — 6 381 (наименее опасные уязвимости, но степень их критичности может повышаться при определенных условиях).
Тема безопасности мобильных приложений сегодня крайне актуальна, поскольку популярность таких программных продуктов стремительно растет. Согласно данным за первый квартал 2022 года, российские пользователи проводят в приложениях больше 4 часов в день. Вместе с востребованностью мобильных продуктов увеличивается и число атак на них — за первую половину 2022 году количество инцидентов выросло на 200%. Зачастую приложения становятся легкой мишенью для злоумышленников, поскольку многие компании-разработчики не считают необходимым защищать их. Они утверждают, что мобильные продукты являются лишь витриной данных для серверной части системы, у них узкий вектор атаки, а если инцидент случится, то потери будут незначительными. Но на самом деле приложения зачастую хранят различную чувствительную информацию, и когда злоумышленники получат к ней доступ, компании могут понести серьезные финансовые и репутационные убытки.
Читайте о нашем исследовании в СМИ: материалы уже опубликовали РИА Новости, Прайм, ВЕСТИ.RU, RB.RU и другие площадки.