Безопасность не скачивается
88,6% популярных в России мобильных приложений имеют уязвимости
Специалисты по кибербезопасности обнаружили почти 30 тыс. уязвимостей в популярных в России мобильных приложениях, при этом количество критических угроз за год выросло вчетверо. Разработчики продолжают, например, хранить пароли в открытом виде и игнорировать базовые правила защиты данных.
Фото: Дмитрий Азаров, Коммерсантъ
Фото: Дмитрий Азаров, Коммерсантъ
“Ъ” ознакомился с результатами ежегодного исследования безопасности мобильных приложений компании AppSec Solutions. В выборку попали более 1,6 тыс. приложений, многие из них входят в топ-100 по скачиванию пользователями в 18 тематических категориях на платформе Android. Как выяснили авторы исследования, 88,6% приложений содержат уязвимости «критического» или «высокого» уровня, что говорит о растущей опасности хакерских атак на мобильные приложения.
При этом если в 2023 году эксперты AppSec Solutions выявили 41,5 тыс. уязвимостей, то в 2024 — чуть меньше 30 тыс. Однако уровень опасности, наоборот, возрос: количество критических уязвимостей в 2024 году составило 83 против 22 в 2023-м (см. инфографику).
Лидерами по общему количеству выявленных проблем в 2024 году оказались приложения в категории «Медицинские сервисы», однако большинство из них не носят критический характер.
На втором месте — «Цифровые сервисы», куда входят приложения телеком-операторов, почтовые сервисы, платформы для вебинаров, сервисы конференций. «За счет разношерстности в этой категории много приложений, где к безопасности разработчики отнеслись довольно прохладно, оставив массу недочетов»,— отмечают в AppSec Solutions. Критические же уязвимости чаще всего встречаются в банковских приложениях.
В качестве основных источников ошибок в разработке мобильных приложений ИБ-специалисты отмечают в первую очередь утечки памяти и ошибки конверсии данных. Также популярны архитектурные и логистические ошибки (ошибки в алгоритмах). Эксперт по защите контейнерных сред разработки «Лаборатории Касперского» Алексей Рыбалко отмечает, что не все ошибки приводят к уязвимостям, но чем больше ошибок в ПО, тем выше вероятность, что какие-то из них станут критическими.
Уязвимости могут привести к нарушению конфиденциальности, целостности, доступности сервиса, отмечает руководитель департамента аудита и консалтинга F6 Евгений Янов. В том числе не устраненные вовремя уязвимости могут привести к несанкционированному доступу к конфиденциальной информации, использованию приложения для атак на пользователей, потере их денег. «Несмотря на серьезность последствий, с которыми регулярно сталкиваются компании, разработчики продолжают хранить чувствительные данные, такие как пароли и идентификаторы, в открытом виде»,— говорят в AppSec Solutions.
За год количество уязвимостей в мобильных приложениях может снизиться, однако риски, связанные с защитой кода от реверс-инжиниринга, стабильно растут, добавляют в Positive Technologies, ссылаясь на рейтинг OWASP (Open Web Application Security Project).
Реверс-инжиниринг — это обязательный этап любой атаки на мобильное приложение.
Из последних громких случаев эксперты указывают на инцидент с уязвимостью Zero-Click (реализуется без взаимодействия с пользователем) в WhatsApp. Если добавить атаки на пользователей с использованием вредоносных клонов, модификацию приложений с отключенной рекламой или пиратские версии платных приложений, «мы все равно будем видеть только вершину айсберга», добавил руководитель разработки PT Maze в Positive Technologies Николай Анисня.