Хакеры побудут с детьми

В игровых приложениях нашли критичные уязвимости

Популярные мобильные игровые приложения для детей содержат более критичные уязвимости и меньше защищены, чем приложения для взрослых, следует из данных «Ростелекома-Solar». В компании полагают, что утечки могут затронуть платежные данные пользователей в случаях, когда такие игры содержат встроенные покупки. Но в целом детские приложения редко передают ценные данные и поэтому малоинтересны злоумышленникам, отмечают эксперты.

Фото: Дмитрий Азаров, Коммерсантъ  /  купить фото

Компания «Ростелеком-Solar» провела анализ уязвимостей 14 популярных мобильных игровых приложений для детей (результаты исследования есть у “Ъ”). Приложения выбирались согласно количеству скачиваний в App Store и Google Play и позициям в рейтингах мобильных игр для детей. Все они рассматривались в вариантах для мобильных операционных систем iOS и Android, анализ безопасности кода осуществлялся автоматически с помощью одного из программных продуктов компании.

Аналогичные исследования проводились и для приложений ритейлеров, каршеринга и мессенджеров. Основное отличие детских приложений в том, что в Android-версиях 9 из 14 исследованных игр содержится не встречавшаяся в предыдущих исследованиях уязвимость, указывает руководитель направления Solar appScreener «Ростелекома-Solar» Даниил Чернов, ключ шифрования в этих приложениях задан в исходном коде. Эта уязвимость занимает третье место по уровню критичности в международном рейтинге OWASP Top 10.

«В предыдущих исследованиях нам не встречались уязвимости выше пятого места в этом рейтинге. На наш взгляд, это связано с тем, что о безопасности детских игровых приложений разработчики вообще не думают. Очевидно, потому, что бесплатные мобильные игры для детей, на первый взгляд, должны быть неинтересны злоумышленникам»,— рассуждает господин Чернов.

В целом же исследованные игры на iOS отличаются значительно более низкой степенью защищенности по сравнению с Android-аналогами. Все исследованные игровые приложения на iOS имеют слабые алгоритмы хеширования, что потенциально ведет к компрометации пользовательских данных, и содержат уязвимости, которыми можно воспользоваться для атаки на приложение, следует из данных «Ростелекома-Solar».

Большинство детских приложений в исследовании базируются на лицензионных брендах, но разработаны не самими правообладателями. Так, в число наиболее защищенных на Android и наименее защищенных на iOS попало приложение «Три кота: Пикник» на основе мультсериала «СТС Медиа». Медиахолдинг взаимодействует с разработчиками, у которых есть опыт с анимационными брендами, отметил представитель «СТС Медиа». «Мы согласуем и проверяем игры на содержание и дизайн, но не проверяем на защищенность от взломов, так как у нас нет такой экспертизы, данную ответственность несет непосредственно разработчик»,— уточнил он.

Эксперт лаборатории практического анализа защищенности компании «Инфосистемы Джет» Екатерина Рудая полагает, что уязвимости, о которых идет речь в исследовании, более серьезны в случае приложений для взрослых, которые имеют дело с конфиденциальными данными. «То, что детские приложения передают что-то очень ценное, вызывает большие сомнения»,— скептична она.

Детские приложения вряд ли вызывают у злоумышленников большой интерес, согласен антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев. «Если киберпреступники и будут атаковать приложения, то напрямую или косвенно связанные с финансами жертвы, в редких случаях — с целью слежки»,— поясняет он.

Но, подчеркивает Даниил Чернов, эксперты забывают о том, что почти все детские мобильные игры содержат встроенные покупки, а следовательно, имеют доступ к тем же самым платежным данным пользователей.

Кристина Жукова, Дмитрий Шестоперов

Картина дня

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...