За последние годы рынок мобильных приложений для знакомств вырос в разы и, по оценкам аналитика японского холдинга Nomura Instinet Марка Келли, к 2020 году объём мирового рынка онлайн-знакомств вырастет до $12 млрд. Большая часть доходов рынка онлайн-знакомств приходится на США: по данным Statista.com, он составит $973 млн в 2020 году. В пятерку стран по выручке на рынке мобильных приложений для знакомств входит, после США, Китай — $229 млн, Великобритания — $153 млн, Германия — $78 млн и Индия $63 млн.
Тенденции к росту аудитории мобильных приложений для знакомств способствует также глобальный переход пользователей на мобильные устройства — смартфоны и планшеты. При пользовании мобильными приложениями для знакомств существует риск утраты конфиденциальных и финансовых данных и утечке личной переписки в третьи руки. В связи с чем встает вопрос безопасности использования и уровня защищенности данных в этих мобильных приложениях.
Мобильный фитнес: так ли безопасны ваши любимые приложения?
Какие есть угрозы безопасности в мобильных приложениях для знакомств?
По данным исследования функциональности популярных мобильных приложений знакомств компании «Ростелеком-Солар», существуют различные виды угроз для пользователей приложений — от недостаточно надежных методов защиты паролей до уязвимости приложений к различным типам известных атак и эксплойтов. Что это означает? Мобильные приложения на iOS и Android, имеющие слабый алгоритм хеширования и шифрования, могут подвергнуться атакам злоумышленников и, следовательно, утечке конфиденциальных данных и чувствительной информации пользователей приложений.
Хеш-функции представляют собой инструмент криптографии, используемый для выполнения самых разных задач – аутентификации, проверки целостности данных, защиты файлов и многого другого. Алгоритмы хеширования отличаются криптостойкостью, сложностью и другими параметрами.
Пример атаки с использованием данной уязвимости
Пусть пароли пользователей хранятся на сервере в зашифрованном виде с использованием небезопасной хеш-функции. Сначала злоумышленник получает доступ к базе зашифрованных паролей. Затем, используя уязвимость алгоритма хеширования, он вычисляет строку, для которой алгоритм хеширования даёт то же значение, что и для пароля пользователя. Затем злоумышленник проходит аутентификацию, используя вычисленную строку.
Анализ защищенности мобильных приложений для Android
Для исследования Ростелеком-Солар были выбраны 12 мобильных приложений для платформ iOS и Android: Tinder, Badoo, LovePlanet, Mamba, Фотострана, Topface, ДругВокруг, MyFriends, Galaxy , Знакомства@mail.ru, Teamo и Hitwe .
По результатам исследования, приложения Teamo и Фотострана показали самый высокий уровень защищенности 3.2 балла из 5 возможных. Самый низкий бал оказался у приложений LovePlanet, Topface и MyFriends — 2,1 — 1,9 балла.
У приложении Знакомства@mail.ru (Mail.ru Group) для Android обнаружена высококритичная уязвимость, входящая в международный рейтинг наиболее критичных уязвимостей «OWASP Mobile Top 10 2016». В случае ее успешной эксплуатации злоумышленник может получить доступ к учетной записи пользователя приложения и ко всей незашифрованной информации, которое приложение передает на сервер.
5 незаменимых приложений для поиска второй половины
Благодаря уязвимости данного класса хакер может стать обладателем логина и пароля пользователя, с их помощью войти в приложение и получить доступ к переписке, видео и аудио- контенту, которым владелец аккаунта обменивался со своими знакомыми в приложении. Пользователи часто ленятся запоминать разные логины и пароли и используют одну и ту же связку и для аккаунта в приложении знакомств, и для доступа в онлайн-банк, что создает финансовые риски для пользователя.
Анализ защищенности мобильных приложений для iOS
Результаты анализа для iOS свидетельствуют о низком уровне защищенности мобильные приложений по сравнению с их Android-аналогами. Столь низкие показатели объясняются на один-два порядка большим количеством вхождений уязвимостей критического уровня в iOS-версиях по сравнению с соответствующими Android-приложениями. Что, однако, в некоторой степени компенсируется более высокой защищенностью самой операционной системы.
Наилучшие показатели для iOS оказались у приложений Hitwe, LovePlanet и Galaxy (1 балл и менее). Мобильное приложение знакомств Topface для iOS включает множество уязвимостей – его общий уровень был оценен в 0.0 балла.
Рекомендации для пользователей
- При загрузке приложения внимательно относитесь к уведомлениям от приложений о запросе доступа к каким-либо функциям или данным. Не стоит предоставлять разрешение на доступ, если есть сомнение в его необходимости для работы приложения.
- Создавайте сложные пароли при регистрации в приложениях. Избегайте в качестве пароля дат рождения, номера телефона, повторения пароля к другим мобильным приложениям. Отдавайте предпочтение биометрическим механизмам аутентификации.
- Регулярно обновляйте операционную систему и используемые приложения. Это позволит избежать атаки злоумышленниками на более старые версии ОС и приложений.
- Перед удалением мобильного приложения удаляйте сначала данные банковской карты, а затем сам аккаунт внутри приложения и только потом — удаляйте само приложение.
Как правильно удалять мобильное приложение: 3 важных шага
Делитесь в комментариях, как вы относитесь к безопасности мобильных приложений?