Разработчики разразились угрозами
84% российских мобильных приложений имеют критические уязвимости
Эксперты по кибербезопасности обнаружили 48,8 тыс. уязвимостей в популярных мобильных приложениях российских разработчиков за 2025 год, что на 63% больше показателя годом ранее. При этом количество критических угроз составило более 19 тыс. Этому способствует увеличение объемов использования ИИ-сгенерированного кода в разработке, который тиражирует ошибки и небезопасные паттерны хранения чувствительных данных.
Фото: Екатерина Матюшина, Коммерсантъ
Фото: Екатерина Матюшина, Коммерсантъ
“Ъ” ознакомился с ежегодным исследованием безопасности мобильных приложений компании AppSec Solutions. В выборку попали более 1,2 тыс. популярных программ на Android, которые тестировали методом черного ящика — без доступа к исходному коду. Как выяснили эксперты компании, 84% приложений содержат уязвимости «критического» или «высокого» уровня. Количество только критических уязвимостей составило более 19 тыс. При этом общее количество уязвимостей выросло на 63% и составило 48,8 тыс. в 2025 году против 29,9 тыс. годом ранее.
Лидерами по общему количеству выявленных проблем в 2025 году оказались программы в категориях «Игры», «Стриминговые платформы», «Финансы», «Приложения для бизнеса» и «СМИ». Причем в финансовом секторе количество наиболее опасных уязвимостей за последние три года увеличилось практически в десять раз, достигнув 1921 случая в 2025 году, уточняют в AppSec Solutions. Рост в компании связывают с тем, что банковские приложения интегрируют сторонние сервисы, из-за чего растет количество «зашитых» в код бэкдоров и точек небезопасного хранения чувствительных данных. При этом на результаты повлияла и возросшая глубина анализа, говорят в компании: «Часть проблем, которые мы фиксируем сейчас, раньше попросту не детектировалась».
Среди критичных уязвимостей лидирует небезопасное хранение токенов, ключей и пользовательских данных. При этом искусственный интеллект (ИИ) становится новым источником угроз. «С одной стороны, ИИ ускоряет разработку, с другой — кодовая база растет и потенциальные ошибки накапливаются. ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют собой устаревшие или уязвимые практики разработки»,— говорит руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин.
Популярные языковые модели пропускают от 40% до 50% уязвимостей в коде, приводит данные пресс-служба ГК «Солар». Нехватка квалифицированных AppSeс-специалистов только усиливает проблему накопления ошибок в коде, включая критичные, которые провоцируют утечку конфиденциальной и личной информации пользователей. По данным компании, уязвимости, которые открывают доступ к конфиденциальной информации, выявляются в 75% приложений.
Рост уязвимостей «критического» и «высокого» уровня в финансовом секторе господин Полунин связывает с усложнением функционала приложений, которые содержат огромный объем стороннего кода через библиотеки и компоненты, для проведения платежей, управления биометрией, общения с поддержкой и так далее. А также «требованием бизнеса выпускать новые "фичи" как можно быстрее, зачастую без должного тестирования и обкатки».
В 2026 году число уязвимостей будет продолжать расти, считает руководитель продукта AppSec.Sting компании AppSec Solutions Никита Пинаев: «Все больше сторонних SDK и облачных интеграций, все больше ИИ-сгенерированного кода, тиражирующего небезопасные паттерны хранения чувствительных данных». Он считает, что переломить тренд можно «только переходом от разовых проверок к системному, риск-ориентированному подходу»: «Безопасное управление секретами и ротация ключей, контроль сторонних компонентов, защита среды исполнения. Выиграют компании, которые встроят эти практики в процесс разработки и будут отличаться от рынка не количеством находок, а скоростью их устранения».