В приложениях для онлайн-шоппинга содержится порядка 30% уязвимостей уровня High и Critiсal среди найденных угроз кибербезопасности. Они содержат уязвимости, которые не только могут привести к утечке персональных данных, но и позволяют хакерам манипулировать экранами незаметно для пользователя. Об этом говорится в исследовании компании AppSec Solutions.
В преддверие гендерных праздников эксперты по кибербезопасности проанализировали 100 самых популярных мобильных приложений российских разработчиков в категории «Покупки» на наличие распространённых уязвимостей. В выборку вошли онлайн-магазины одежды, парфюмерии, предметов для хобби и книжные – всё, где обычно выбирают подарки к 23 февраля и 8 марта.
В 71 приложении из 100 некорректно сконфигурированы сторонние сервисы, присутствует дополнительная функциональность, от сбора чувствительных данных до использования ML-моделей. При этом в каждом третьем приложении есть уязвимости, благодаря которым данные могут стать доступными потенциальному злоумышленнику.
Например, уязвимость Jetpack Navigation даёт возможность открывать любые фрагменты в приложении с помощью специально сформированного запроса извне. Таким образом злоумышленник может получить доступ к наиболее критичным данным, к примеру, экрану с платёжной информацией или персональными данными.
Из всех категорий лидером по количеству проблем является «Хранение чувствительной информации в открытом виде». Это проблема выявлена в 82% приложений. Пользовательские данные хранятся или передаются в небезопасном виде, что потенциально может привести к их утечке.
На втором месте – отсутствие проверки среды выполнения на доверенность. Такие проверки обнаружены лишь в 44% приложений, в 56% утилит таких проверок нет.
В топ-3 опасностей входит возможность открытия произвольного URL в WebView. По словам экспертов, такая проблема встречается примерно у трети приложений для шопинга.
Для того чтобы не стать жертвой киберпреступников, эксперты по информационной безопасности рекомендуют обращать внимание на ссылки и почтовые домены: они могут быть фишинговыми и имитировать реальные площадки. Они будут отличаться от настоящих, если смотреть внимательно. Например, вместо wildberries.ru в письме будет wildberri0s-support.ru.
Также стоит обращать внимание на слишком щедрые скидки. Дисконт в 90% на популярные товары в самый сезон покупки подарков? Скорее всего, это подделка.
Следует обращать внимание на ошибки в тексте. Многие фишинговые ресурсы содержат грамматические ошибки, что говорит о ручной сборке контента.
Важно фиксировать неожиданные запросы. Например, вы переходите по ссылке, и сервис сразу требует ввода каких-либо чувствительных данных. Если у вас требуют сразу ввести данные карты или код из SMS, это подозрительно. Вводить их точно не стоит, если не хотите лишиться приличной суммы денег.
Общие правила для безопасных покупок можно сформулировать следующим образом:
- Проверка источника
Не кликайте на ссылки из непроверенных писем и сообщений. Если вам пришло предложение о скидке, зайдите на сайт напрямую. Это помогает также не купить подделку, сверив ассортимент реального магазина с «горящим» предложением.
- Двухфакторная аутентификация (2FA)
Подключите 2FA для всех важных аккаунтов. Даже если логин будет украден, доступ к аккаунту останется заблокированным без второго фактора.
- Безопасные платежи
Используйте виртуальные карты или специальную карту куда переводить деньги только перед покупкой.
- Антивирусное ПО
Антивирус с функцией защиты от фишинга поможет блокировать вредоносные сайты и фальшивые формы оплаты.