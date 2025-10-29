Интеграция
Цифровая трансформация в нестабильное время — пять полезных лайфхаков
Бизнес
Российский бизнес активно движется по пути цифровой трансформации
ИТ-бизнес
Обзор МФУ Sharp MX-2651EU: обновленная линейка

CNews Аналитика Конференции Маркет Техника ТВ

Спецпроекты

ПО Безопасность Веб-сервисы
|

Самые уязвимые мобильные приложения – сервисы доставки готовой еды, товаров для дома и дачи, онлайн-аптеки

Центр цифровой экспертизы Роскачества и группа компаний «Солар» провели совместное исследование мобильных приложений, опубликованных на платформах iOS и Android. Были проанализированы около 70 ресурсов популярных сервисов доставки готовой еды, онлайн-аптек, маркетплейсов по продаже товаров для дома и дачи, бытовой техники и электроники, сервисов доставки цветов. Об этом CNews сообщили представители «Солар».

Аналитики сфокусировались на приложениях, имеющих рейтинг более четырех баллов и набравших от 500 тыс. скачиваний на сентябрь 2025 г. Наиболее массовыми стали группа сервисов доставки готовой еды, которыми суммарно пользуются около 50 млн человек, и приложения магазинов электроники и бытовой техники, которыми пользуются более 72 млн покупателей. В категории онлайн-аптек максимальный охват аудитории составил свыше 26,5 млн пользователей, в категории DIY были представлены сервисы, скачанные более 15 млн раз.

«Мошенники и хакеры значительно продвинулись в технологиях обмана пользователей. Социальная инженерия, вмешательство в интернет-трафик, поддельные страницы авторизации – это лишь верхушка айсберга. Зачастую пользователи даже не понимают, что стали жертвой атаки, пока не станет слишком поздно. Сегодня обязательным инструментом для повседневной жизни должна стать не просто цифровая грамотность, а тотальное недоверие к входящим коммуникациям. Это касается не только получаемого контента, но и любых внешних сетей, к которым мы в спешке или при отсутствии альтернатив стремимся подключиться. Разграничивайте свою цифровую жизнь, не складывайте все данные в одну «корзину». Учитесь разделять информацию и входящий контент по степени важности. Это не защитит вас от таргетированной атаки, увы, но максимально усложнит работу хакерам. Исходя из простой логики и финансовых затрат, мошенники всегда идут по пути наименьшего сопротивления», – сказал Сергей Кузьменко, руководитель Центра цифровой экспертизы Роскачества.

Большая часть исследованных приложений работает с поддержкой операционной системы Android. Эксперты протестировали их с помощью модуля SAST, входящего в состав ПО Solar appScreener. Для выявления уязвимостей и недекларированных возможностей (НДВ) использовались технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга (декомпиляции исходного кода).

Аналитики выявили пять основных категорий уязвимостей, которые позволяют киберпреступникам реализовать MITM-атаки (man in the middle, «человек посередине») и приводят к передаче конфиденциальной информации, личных и финансовых данных в руки злоумышленников.

Во всех исследованных приложениях сервисов доставки еды, онлайн-аптек, сервисов по заказу товаров для дома и дачи, а также в 75% приложений маркетплейсов электроники и бытовой техники эксперты выявили обращение к DNS. Эксплуатация этой уязвимости позволяет хакерам перенаправить трафик на поддельные серверы и перехватить данные, создает риск компрометации пользовательских данных и загрузки вредоносного контента. Например, если пользователь открывает приложение с подобной уязвимостью, есть риск, что из-за подмены DNS-записи запрос может быть направлен на поддельный сервер, внешне полностью похожий на оригинал. При вводе логина и пароля пользователь таким образом передает их злоумышленнику.

Второй из наиболее распространенных уязвимостей стала небезопасная рефлексия. Эксплуатация этого недостатка ПО позволяет злоумышленнику вызывать внутренние или приватные методы приложения, обходить проверки доступа и выполнять произвольный вредоносный код, что ведет к утечке данных и нарушению целостности работы софта. Например, приложение подгружает и вызывает внутренние методы по имени, полученному из пользовательского ввода. Злоумышленник подставляет имя скрытого системного метода путем перебора и получает доступ к функциям, которые должны быть недоступными, например, чтение данных всех зарегистрированных пользователей в приложении. Эта уязвимость была выявлена у подавляющего большинства исследованных приложений, реже – в 75% случаев – в приложения маркетплейсов для заказа электроники и бытовой техники.

Небезопасная собственная реализация SSL замыкает тройку самых распространенных уязвимостей. Она позволяет нарушить подлинности сертификатов защиты данных и установить защищенное соединение без должной валидации. При эксплуатации этой уязвимости хакеры также могут выполнить MITM-атаку, перехватить или подменить передаваемые данных, что ведет к компрометации конфиденциальной информации. Например, если разработчик приложения реализовал собственную проверку сертификатов и по ошибке принимает любой сертификат (или отключил валидацию). В результате при подключении через публичную или скомпрометированную сеть Wi-Fi злоумышленник подменяет сертификат и получает все передаваемые данные, включая токены, пароли и другую конфиденциальную информацию либо подделывает перехваченную информацию, тем самым нарушая целостность передаваемых данных.

Наиболее уязвимыми сервисами по этой категории стали приложения онлайн-аптек (93%), сервисы заказа готовой еды, цветов и подарков (75%), DIY-приложения (72%). При этом подобная уязвимость была выявлена только в 50% исследованных приложений маркетплейсов электроники и бытовой техники.

Использование слабых алгоритмов хеширования создает риск восстановления паролей при компрометации базы данных, а также позволяет подделывать данные из-за возможностей коллизий, что может привести к нарушению целостности и конфиденциальности информации. Например, если пароли пользователей хранятся в базе данных в виде MD5-хешей без «соли». После компрометации базы данных, злоумышленник легко восстанавливает исходные пароли с помощью т.н. «радужных таблиц» (предварительно вычисленные таблицы для обращения криптографических хеш-функций) и получает доступ к учетным записям. Эксперты отмечают, что отмеченный недостаток ПО выявлен в более 75% исследованных приложений во всех категориях.

В пятерку самых распространенных уязвимостей вошло использование незащищенного протокола HTTP. Если в приложении вместо HTTPS используется HTTP, то злоумышленники также получают возможность реализовать MITM-атаку. В этом случае возможна подмена данных, раскрытие передаваемой информации, что приводит к утечке конфиденциальных данных и нарушению принципа конфиденциальности в информационной безопасности. Например, если приложение передает токены авторизации по протоколу HTTP, то хакер, подключившийся к той же сети Wi-Fi, может перехватить весь сетевой трафик, включая токен авторизации. В результате он сможет войти в аккаунт пользователя без пароля.

«По итогам исследования были выявлены критичные уязвимости, которые открывают хакерам легкий доступ к самому ценному – личной, финансовой и конфиденциальной информации пользователей. Наибольшее беспокойство вызывает тот факт, что уязвимыми оказались приложения, охватывающие миллионы людей. Безусловно, аудитория исследованных сервисов пересекается, но в случае потенциальных утечек данных из нескольких приложений злоумышленники получают мощный инструмент для обогащения баз данных и последующих атак против пользователей и бизнеса», – сказал Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.

Как отмечают аналитики Роскачества и «Солара», результаты исследования демонстрируют, что безопасность данных пользователей и приложений требует системного подхода и повышенного внимания не только на этапе готового продукта, но и с первых этапов разработки ПО. Эксперты рекомендуют разработчикам внедрить цикл безопасной разработки (Secure SDLC) в соответствии с ГОСТ и международными стандартами OWASP. Таким образом комплексный подход позволит защитить миллионы пользователей от MITM-атак и утечек конфиденциальной информации, обеспечивая доверие к цифровым сервисам.

Solar appScreener уже более 10 лет помогает бизнесу контролировать безопасность приложений, объединяя в едином интерфейсе статический (SAST), динамический (DAST), анализ состава ПО и анализ безопасности сторонних компонентов (OSA). Запущенный в 2015 г., продукт стал надежным инструментом в циклах безопасной разработки для свыше 200 компаний из банковской сферы, ИT, ритейла, энергетики, транспорта и логистики. Solar appScreener поддерживает широкий спектр языков программирования и интегрируется в процессы CI/CD, обеспечивая комплексный и непрерывный контроль качества кода и безопасности приложений на всех этапах разработки и эксплуатации.

Короткая ссылка


Другие материалы рубрики

Василий Часовской, Почта России: Для каждого изменения в ИТ-инфраструктуре должны автоматически проверяться ИБ-требования

Пакистан атакует индийские госструктуры трояном, написанным нейросетью

Иван Чернов, UserGate: Теперь недостаточно контролировать только исходящий и входящий трафик

Россия готовится к кибератакам на города. Создан цифровой двойник города для отработки методов защиты

Никита Баранов, «Крайон»: Инструмент для управления уязвимостями так же необходим, как антивирус

Крупнейшему майнеру России гасят свет. Компания Потанина предъявила ему счет на сотни миллионов вслед за структурами Дерипаски

CNewsMarket

IaaS

Подобрать облачную инфраструктуру

От 346 руб./месяц

DBaaS

Выбрать тариф на облачную базу данных

От 0.80 руб./месяц

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

BPM

Подобрать систему управления бизнес-процессами BPM

От 1 250 руб./месяц

Техника

Обзор моноблока AOpen WA272: труженик цифрового мира

Как корректно поставить задачу ИИ и избежать ошибок при запросе: советы ZOOM

Как сделать умный телевизор полезным: 10 лучших приложений для Android TV

Показать еще

Наука

Космические «замочные скважины» — отсроченная катастрофа, через них астероиды могут вернуться на Землю

С помощью света удалось создать уникальные кристаллы времени, их можно увидеть невооруженным глазом

Красные точки, которые назвали разрушителями Вселенной — замаскированные черные дыры?
Показать еще