Десятки миллионов россиян ежедневно заходят в мобильные банки, оплачивают покупки и переводят деньги. Большинство из них не знает, что приложения, которым они доверяют свои финансы, содержат тысячи уязвимостей, и ситуация ухудшается с каждым годом.
Дырявые приложения
Специалисты по кибербезопасности проанализировали 90 наиболее популярных российских приложений из категорий банкинга, микрозаймов и страхования. В 2023 году критических и высокоопасных уязвимостей было найдено 183. В 2024-м уже 569, рост в три раза. В 2025-м более 2000, ещё почти четырёхкратный скачок. Итого за два года увеличение в 11 раз, причём темпы ускоряются.
Есть одна оговорка: часть роста объясняется улучшением инструментов диагностики, они просто стали лучше находить то, что раньше не замечали. Но это объясняет лишь часть прироста, а не весь.
Какие типы уязвимостей оказались самыми распространенными?
Самая распространённая и опасная проблема - хранение чувствительной информации прямо в коде приложения. Только в 2025 году таких случаев обнаружено более полутора тысяч. Механизм угрозы прямой: злоумышленник декомпилирует приложение, извлекает встроенные секретные данные (ключи, токены, пароли к серверам) и получает доступ к инфраструктуре. Не к одному аккаунту, а потенциально к серверам компании с данными всех клиентов.
Второе по распространённости - использование незащищённых соединений при передаче данных. Когда трафик не шифруется, злоумышленник, перехватив его, может не только прочитать содержимое, но и подменить. В практическом выражении это означает возможность подделать адрес сервера, перенаправить пользователя на фишинговый клон приложения или внедрить вредоносный код прямо в передаваемый пакет данных.
Третий тип проблем связан с уязвимостями во взаимодействии между процессами внутри приложения. Они позволяют открывать фишинговые страницы внутри легитимного интерфейса, и пользователь думает, что работает с настоящим банком, а часть процессов уже перехвачена.
Почему приложения не проходят должную проверку перед релизом?
Первая причина - зависимость от сторонних компонентов. Разработчики используют готовые библиотеки с открытым кодом, не всегда проверяя их на уязвимости. Если в популярной библиотеке обнаруживается ошибка, уязвимыми автоматически становятся все приложения, которые её используют. Разработчик конкретного банковского приложения мог не делать ничего неправильного и всё равно получить дыру в безопасности.
Вторая причина - давление сроков. Конкуренция на рынке финансовых приложений высокая, функциональность наращивается быстро. В условиях жёстких дедлайнов проверка кода перед финальной сборкой страдает, и логические ошибки попадают в продукт, который затем скачивают миллионы человек.
Парадокс статистики
В общей картине есть деталь, которая требует объяснения. Суммарное число всех уязвимостей, не только критических, в 2025 году составило около 3500. Это меньше, чем в 2023-м, когда их было 4500, но картина меняется, если посмотреть на динамику: в 2024 году общее число уязвимостей составляло всего 1500, а в 2025-м удвоилось. Общая цифра за 2025 год выглядит приемлемой только в сравнении с 2023-м, и только потому, что 2024 год был аномально низким.
Важнее другое: доля критических уязвимостей в общем числе резко возросла. В 2023 году на них приходилось около 4% от всех найденных брешей, в 2025-м уже более 56%.
Что это означает для пользователей
Эксплуатация одной конкретной уязвимости не приводит к мгновенному массовому взлому, атака требует усилий, квалификации и времени. Большинство обычных пользователей не станут жертвами прямо сейчас. Но это не повод для спокойствия.
Речь идёт о накопленном риске. Каждая незакрытая критическая уязвимость - это открытая дверь, которая может быть использована в любой момент. Чем больше таких дверей, тем выше вероятность, что через одну из них кто-то войдёт. Практические последствия для клиентов - кража персональных данных и банковских реквизитов при получении хакерами доступа к серверам. Для бизнеса - репутационный и финансовый ущерб от утечек, который становится всё более ощутимым на фоне ужесточения ответственности за нарушения в сфере персональных данных.