Команда «Стингрей Технолоджиз», разработчик платформы анализа защищенности мобильных приложений, поделилась результатами нового исследования по безопасности мобильных приложений российских разработчиков. Полный текст можно найти по ссылке, а здесь мы расскажем о самом главном.
Итак, результаты анализа показали, что 56% программных продуктов содержат уязвимости высокой и наивысшей степени критичности. Этот показатель исследования, проведенного в конце 2023 года, оказался гораздо ниже цифры прошлого анализа (конец 2022г.), который выявил наличие серьезных проблем у 83% приложений. То, что мобильные разработчики всерьез взялись за безопасность, не может не радовать.
Общее число проанализированных в 2023г. приложений достигло 1816. В них было обнаружено 25 854 уязвимости с разным уровнем критичности (13 – критичного уровня, 2339 – высокого, 7928 – среднего, остальные – низкого). Все мобильные продукты были скачаны из открытых источников. При оценке уровня риска найденных ошибок наша команда учитывала сложность проведения потенциальных атак, а также степень их влияния на пользовательские данные и само приложение.
Детально мы рассмотрели в рамках исследования уязвимости из нескольких основных категорий: сетевое взаимодействие, конфигурация приложений, хранение ключей и сертификатов, хранение чувствительной информации, использование криптографии, уязвимости межпроцессного взаимодействия. Подробную информацию о каждой из них можно найти в тексте исследования.
Наибольшее число опасных проблем было найдено в приложениях следующих категорий: развлечения (140), образование (118), утилиты (94), бизнес-сервисы (79), транспорт (69), социальная сфера (69), объявления и услуги (69), государственные (63).
Обнаруженные проблемы безопасности позволяют получить доступ к персональным данным и настройкам мобильных продуктов, изменить их или применить для таргетированных атак, завладеть аккаунтами пользователей, произвести хищения денежных средств, реализовать сценарии с применением социальной инженерии.
Исследование проводилось методом «черного ящика», то есть атакующий не имел доступа к исходному коду. Эксперты проверяли безопасность ПО с помощью Стингрей — платформы автоматизированного анализа защищенности мобильных приложений. Также они оценивали каждую обнаруженную проблему с точки зрения критичности и изучали возможные векторы атак.
Как вы знаете, наша команда постоянно работает над поиском уязвимостей в мобильных продуктах и раз в год делает исследование на эту тему. Отрадно видеть, что тема безопасности действительно заботит сегодня разработчиков и они уделяют ей все больше внимания. Это действительно важно, поскольку все мы используем приложения для банковских операций, связи, покупок, работы и развлечений и, соответственно, храним в них много личной и финансовой информации. Небезопасные мобильные продукты подвергают риску защищенность пользователей, что нередко приводит к финансовым потерям, ущербу репутации и даже юридической ответственности для компаний.
