Команда Стингрей компании AppSec Solutions подвела итоги масштабного ежегодного исследования безопасности мобильных приложений. В выборку попали сервисы из ТОП-100 по скачиванию в каждой тематической категории. Первые выводы – 88,6% приложений содержат уязвимости уровня Critical и High, что говорит о растущей опасности хакерских атак на мобильные приложения.
Всего за 2024 год было выявлено 29952 уязвимостей, среди них 83 критически опасных и 8887 высокого уровня серьезности. Для сравнения, в 2023 году при общем количестве в 41493 уязвимости критических было обнаружено всего 22, и высокого уровня серьезности – 2283. Это говорит о том, что при росте качества анализа кибербезопасности разработчики мобильных приложений зачастую не успевают или не умеют качественно противостоять угрозам хакерских атак, в первую очередь, за счет дефицита специалистов по DevSecOps.
«За год мы доработали платформу Стингрей, она стала гораздо точнее находить и приоритезировать уязвимости, исключая ложные срабатывания. Это облегчает работу AppSec-инженеров, поскольку у них освобождается время на работу с действительно серьезными проблемами. Однако и количество этих проблем за последний год выросло в несколько раз, а с учетом появления новых видов угроз, это серьезный риск для владельцев приложений. Несмотря на серьезность последствий, с которыми регулярно сталкиваются компании, разработчики по-прежнему совершают те же ошибки, в первую очередь, хранят чувствительные данные, такие как пароли, индентификаторы, токены в открытом виде, облегчая работу злоумышленников», — рассказал директор продукта Стингрей Юрий Шабалин.
Аналитики Стингрей проанализировали 1675 мобильных приложений в 18 тематических категориях. «Чемпионами» по общему количеству выявленных проблем оказались приложения в категории «Здоровье», однако большинство из уязвимостей в этом разделе не носят критический характер. На втором месте – «Полезные инструменты», самая разнообразная категория, куда входят прогнозы погоды, переводчики, приложения для создания нейро-аватаров, музыкальные плееры и даже антивирусы. За счет «разношерстности» в этой категории много приложений, где к безопасности разработчики отнеслись довольно прохладно, оставив массу недочетов. Впрочем, действительно опасных среди уязвимостей не так много – менее 700. Чего не скажешь о приложениях для образования, где были обнаружены по-настоящему пугающие уязвимости. Более трети из обнаруженных– уровня Critical и High. В частности, некоторые приложения позволяют хранить чувствительные данные, включая пароли или персональные данные пользователей в публичном файле, до которого без труда могут добраться злоумышленники.
Полную версию исследования можно найти на странице нашего спецпроекта на CNews.