Хакеры побудут с детьми
В игровых приложениях нашли критичные уязвимости
Популярные мобильные игровые приложения для детей содержат более критичные уязвимости и меньше защищены, чем приложения для взрослых, следует из данных «Ростелекома-Solar». В компании полагают, что утечки могут затронуть платежные данные пользователей в случаях, когда такие игры содержат встроенные покупки. Но в целом детские приложения редко передают ценные данные и поэтому малоинтересны злоумышленникам, отмечают эксперты.
Фото: Дмитрий Азаров, Коммерсантъ
Компания «Ростелеком-Solar» провела анализ уязвимостей 14 популярных мобильных игровых приложений для детей (результаты исследования есть у “Ъ”). Приложения выбирались согласно количеству скачиваний в App Store и Google Play и позициям в рейтингах мобильных игр для детей. Все они рассматривались в вариантах для мобильных операционных систем iOS и Android, анализ безопасности кода осуществлялся автоматически с помощью одного из программных продуктов компании.
Аналогичные исследования проводились и для приложений ритейлеров, каршеринга и мессенджеров. Основное отличие детских приложений в том, что в Android-версиях 9 из 14 исследованных игр содержится не встречавшаяся в предыдущих исследованиях уязвимость, указывает руководитель направления Solar appScreener «Ростелекома-Solar» Даниил Чернов, ключ шифрования в этих приложениях задан в исходном коде. Эта уязвимость занимает третье место по уровню критичности в международном рейтинге OWASP Top 10.
«В предыдущих исследованиях нам не встречались уязвимости выше пятого места в этом рейтинге. На наш взгляд, это связано с тем, что о безопасности детских игровых приложений разработчики вообще не думают. Очевидно, потому, что бесплатные мобильные игры для детей, на первый взгляд, должны быть неинтересны злоумышленникам»,— рассуждает господин Чернов.
В целом же исследованные игры на iOS отличаются значительно более низкой степенью защищенности по сравнению с Android-аналогами. Все исследованные игровые приложения на iOS имеют слабые алгоритмы хеширования, что потенциально ведет к компрометации пользовательских данных, и содержат уязвимости, которыми можно воспользоваться для атаки на приложение, следует из данных «Ростелекома-Solar».
Большинство детских приложений в исследовании базируются на лицензионных брендах, но разработаны не самими правообладателями. Так, в число наиболее защищенных на Android и наименее защищенных на iOS попало приложение «Три кота: Пикник» на основе мультсериала «СТС Медиа». Медиахолдинг взаимодействует с разработчиками, у которых есть опыт с анимационными брендами, отметил представитель «СТС Медиа». «Мы согласуем и проверяем игры на содержание и дизайн, но не проверяем на защищенность от взломов, так как у нас нет такой экспертизы, данную ответственность несет непосредственно разработчик»,— уточнил он.
Эксперт лаборатории практического анализа защищенности компании «Инфосистемы Джет» Екатерина Рудая полагает, что уязвимости, о которых идет речь в исследовании, более серьезны в случае приложений для взрослых, которые имеют дело с конфиденциальными данными. «То, что детские приложения передают что-то очень ценное, вызывает большие сомнения»,— скептична она.
Детские приложения вряд ли вызывают у злоумышленников большой интерес, согласен антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев. «Если киберпреступники и будут атаковать приложения, то напрямую или косвенно связанные с финансами жертвы, в редких случаях — с целью слежки»,— поясняет он.
Но, подчеркивает Даниил Чернов, эксперты забывают о том, что почти все детские мобильные игры содержат встроенные покупки, а следовательно, имеют доступ к тем же самым платежным данным пользователей.