Изображение: recraft
Мобильные приложения, через которые россияне ежедневно заказывают еду, лекарства, технику и товары для дома, оказались уязвимыми для кибератак. Это показало совместное исследование Центра цифровой экспертизы Роскачества и группы компаний «Солар».
Анализ более 70 популярных сервисов доставки с высокой пользовательской оценкой (выше 4 баллов) и базой от 500 тыс. скачиваний выявил масштабные проблемы в области защиты персональных и финансовых данных. Специалисты обнаружили пять основных типов уязвимостей, наличие которых позволяет хакерам перехватывать трафик, выполнять вредоносный код и получить доступ к конфиденциальной информации через MITM-атаки.
Как отметил Владимир Высоцкий, руководитель направления Solar appScreener, в результате эксперимента были найдены критические слабые места, которые открывают злоумышленникам прямой путь к личным данным пользователей. Особенно тревожит масштаб — уязвимыми оказались сервисы, которыми ежедневно пользуются миллионы россиян.
Во всех проверенных приложениях для доставки еды, товаров и медикаментов, а также в 75% приложений маркетплейсов бытовой техники зафиксированы обращения к DNS без должной защиты. Это даёт возможность хакерам перенаправлять сетевой трафик на поддельные ресурсы, внешне неотличимые от оригинальных. Пользователь, вводя логин и пароль, даже не замечает, что передаёт их не сервису, а злоумышленникам.
Вторым по распространённости типом уязвимости стала небезопасная рефлексия — технический сбой, при котором можно вызвать приватные методы внутри приложения и внедрить вредоносный код. Такой сценарий позволяет обойти системные ограничения, нарушить логику работы программы и получить доступ к защищённым данным. Этот тип уязвимости обнаружен почти во всех приложениях, попавших в выборку.
Третье место заняла неправильная реализация SSL-соединения. Отсутствие проверки подлинности сертификатов даёт возможность перехватить и подменить передаваемые данные. Особенно сильно к этой проблеме оказались подвержены онлайн-аптеки (93% приложений), службы доставки готовой еды, подарков и букетов (75%) и DIY-сервисы (72%).
Также зафиксированы случаи использования устаревших и слабых алгоритмов хеширования, не обеспечивающих должный уровень защиты зашифрованных данных. Замыкает пятёрку уязвимостей использование незащищённого протокола HTTP, который может быть легко скомпрометирован и подменён.
Оригинал публикации на сайте CISOCLUB: "Приложения доставки стали главным источником риска утечек данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.