Команда DevSecOps-разработчиков обнародовала итоги исследования защищенности мобильных приложений отечественной разработки на ОС Android. Тесты обнаружили почти 30 тыс. уязвимостей, которые могут эксплуатировать мошенники. Что не радует – уязвимостям высокого и критически высокого уровня подвержены 88,6% приложений.
Авторы исследования отмечают, что в 2024 году число атак на мобильные приложения, особенно в критически важных отраслях, таких как финансы, образование и корпоративный сегмент, продолжало значимо увеличиваться.
Благоприятные условия для этих атак создает тот факт, что 88,6% содержат как минимум одну уязвимость критически высокого или высокого уровня, которые снижают уровень безопасности ПО и могут стать входными точками для хакерских атак. Самые высокие риски в этой сфере, как и прежде, связаны с небезопасным хранением секретных и чувствительных данных.
Построить эффективную защиту мобильных приложений в таких условиях без системного и многоуровневого подхода к безопасности невозможно.
Исследование защищенности мобильных приложений проводилась методом «черного ящика». Такой формат подразумевает, что тестировщики не имеют доступа к исходному коду приложений, и это максимально приближает ситуацию исследования к реальным пользовательским условиям.
Для исследования было выбрано 1 675 мобильных приложений, разработанных отечественными компаниями, из финтеха, онлайн-ритейла и маркетплейсов, образовательных платформ, медицинских сервисов, приложений для транспорта, навигации, корпоративных сервисов – всего 18 категорий. Все эти приложения входят в сотню лучших по каждой из категорий.
Приложения оценивались на 57 видов уязвимостей. Исследователи выявили 29 952 уязвимости с разным уровнем критичности. К категории Critical были отнесены 83 из них (0,277%), к категории High – 8887 уязвимостей (29,67%).
Оказалось, что именно уязвимостям из этих опасных категорий подвержено подавляющее большинство - 88,6% - мобильных приложений. Уязвимости критического уровня найдены в финансовых, образовательных и бизнес-приложениях. Уязвимости высокого уровня выявлены во всех категориях. Больше всего их в приложениях цифровых сервисов и телекома (693), навигации и транспорта (640), стриминговых платформ (627) и онлайн-ритейла (629).
Мобильные приложения для финансовых сервисов, доставки еды, медицинские сервисы, приложения для бизнеса также вошли в число «лидеров» по уровню уязвимостей.
МАХ запускает программу по поиску уязвимостей Bug Bounty
Небезопасно настроенные конфигурации сетевого взаимодействия чаще всего используются в приложениях стриминговых платформ, онлайн-ритейла и навигации и транспорта.
Возможность создать backup-приложения злоумышленникам, имеющим физический доступ к гаджету, чаще всего позволяют приложения из категорий книг и справочников, семьи и детей, стиля жизни. Финансовые приложения в этой категории – на последнем месте. Но 13 из 97 протестированных финансовых приложений используют небезопасный алгоритм подписи, 8 – недостаточную длину ключа для подписи APK файла.
В некорректном хранении чувствительной информации замечены 2 из 98 приложений категории семьи и детей, 1 из 102 приложений для бизнеса, и 3 из 97 приложений из категории финансов.
При этом в исходном коде приложения такую информацию хранит подавляющее большинство исследованных приложений. И безусловные лидеры тут – онлайн ретейл (88 из 100 приложений), навигация и транспорт (85 из 99) и бизнес-приложения (84 из 102).
Исследователи отметили, что наименее безопасную криптографию (режим ECB в блочном шифровании) чаще всего используют финансы (8 из 97), стриминговые платформы (8 из 98) и мессенджеры (4 из 57), слабый или же устаревший алгоритм шифрования, что встречается реже, обнаружен всего в 8-ми приложениях из всей выборки. Слабый ключ шифрования – в 52 случаях, 7 из которых пришлось на стриминговые платформы, и по 5 – на финансовые приложения и мессенджеры.