Спецпроекты

ПО Софт Безопасность Пользователю Стратегия безопасности Интернет Веб-сервисы Техника

Криворукие программисты превратили смартфоны россиян в решето. Приложения для транспорта невероятно дырявые – они содержат тысячи уязвимостей

Российские приложения для транспорта содержат почти 2000 уязвимостей. Это софт для каршеринга, кикшеринта, такси. Их число постепенно снижается, но все равно остается невероятно большим. Это создает огромный риск для пользователей.

Не умеешь – не пиши

Приложения российских сервисов по аренде машин и самокатов, а также для заказа такси наводнены «дырами», угрожающими безопасности пользователей. Как пишут «Ведомости», по итогам 2024 г. в них было найдено свыше 1800 уязвимостей. С одной стороны, это меньше, чем в 2023 г., когда количество брешей вплотную приблизилось к 2500, с другой – их по-прежнему избыточно много.

Статистику изданию предоставила ИБ-компания AppSec Solutions. Выборка включает 98 приложений, среди которых – навигаторы, антирадары, сервисы заправок и пр., словом, софт, которым пользуются десятки миллионов россиян на ежедневной основе.

Названия участвовавших в исследовании утилит в AppSec Solutions раскрывать не стали. Однако в компании отметили, что все они доступны для скачивания как в российском RuStore, так и в американских Google Play и Apple App Store.

Меньше, но больше

Количество уязвимостей в российских транспортных приложениях действительно сократилось, однако россияне оказались под гораздо более серьезно угрозой, нежели в 2023 г. Дело в том, что «дыр» именно высокого и критического в приложениях стало больше, притом в разы.

Удобство транспортных приложений полностью нивелируется их небезопасностью

Если в 2023 г. их было 141, то в 2024 стало 650. Прирост почти пятикратный, хотя есть вероятность, их и в 2023 г. было не 141, а больше. Представитель AppSec Solutions заявил «Ведомостям», что в исследовании 2024 г. «параметры поиска уязвимостей были скорректированы и уточнены».

Доверяй, не проверяй

В AppSec Solutions сообщили изданию, что в компаниях, разработавших самые «дырявые» приложения для транспорта, вероятно, нет внутренних специалистов по кибербезопасности. Также, по его мнению, эти фирмы «не уделяют внимания проверкам».

Рост числа критических брешей мог стать следствием увеличения общего количества транспортных приложений и сервисов. Руководитель проектов в ИТ-компании EvApps Родион Труфанов сообщил изданию, что разработчики тратят ресурсы не на повышение безопасности своих приложений, а на «докручивание» их интерфейсов для соответствия современным требованиям.

Хакеры тоже не дремлют. Понимая, что транспортные приложения становятся все более востребованными, они все чаще обращают на них внимание. ИБ-специалисты тоже не сидят без дела – находят новые уязвимости. «Больше внимания – больше ищут и больше находят», – сказал изданию Труфанов.

Опасность слишком очевидна

Приложения для транспорта оперируют персональными данными пользователей. Во многих из них требуется авторизация, и лишь малую часть можно полноценно использовать без «деанонимизации».

«Поскольку мы говорим о приложениях, с которыми пользователи делятся своими персональными данными, в том числе данными официальных документов, номерами телефонов, адресами, это может дать злоумышленникам большое поле для деятельности и привести, например, к финансовым потерям», – сказал «Ведомостям» владелец продукта «Стингрей» экосистемы AppSec Solutions Юрий Шабалин.

Однако даже без авторизации такие приложения получают данные о перемещениях пользователей. Руководитель направления по развитию ИБ «Телеком биржи» Александр Блезнеков считает, что приложения могут допустить утечку этих сведений, как и других персональных данных.

Он сообщил изданию, что для пользователей «это самые критичные данные», ведь по ним можно установить основные маршруты людей, а заодно и место проживания. Это весьма ценная информация для мошенников. А если им в руки попадут данные непосредственно о профиле пользователя в приложении, то они смогут ездить за его счет (если к аккаунту привязана карта) и пр.

«Фиксировались и случаи, когда из-за уязвимости в прошивке электросамокатов злоумышленники смогли получить удаленный доступ к устройству, а именно возможность его заблокировать или изменить скорость движения. Это могло привести к физическим повреждениям владельца устройства, но эти случаи не массовые», – сказал изданию Блезнеков.

Вернется сторицей

Блезнеков отметил, что «дыр» в транспортных приложениях так много потому, что разработчики не уделяют должного внимания тестированию и стараются быстрее выпустить новую версию приложения. «Но здесь можно и понять бизнес, который хочет, чтобы новый функционал выходил как можно быстрее», – сказал он.

Но разработчик приложения может очень сильно пожалеть, что не потратил ресурсы на безопасность своего сервиса. Утечка персональных данных – это повод для наступления как административной, так и уголовной ответственности, сообщил изданию руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин.

«Когда мы получаем приложение на компьютере или смартфоне, то вспоминаем о безопасности лишь тогда, когда устанавливаем на это приложение пароль. А подключение опции входа по отпечатку пальца у нас ассоциируется скорее с удобством входа в это приложение, – сказал CNews Дмитрий Ефимов, генеральный директор компании-интегратора SDS Fusion, эксперт с 20-летним опытом в области систем оповещения и безопасности. – Однако если дверь плотно закрыта на замок, то самое время подумать: «А все ли стены есть в этой комнате?». Если мы будем посещать какой-то сайт, с помощью которого производят взлом программ, на компьютерах или на устройстве поселится компьютерный вирус, то он явно не будет подбирать пароль к приложению или имитировать авторизацию с помощью биометрии».

«Разработчики программного кода находятся «очень далеко» от понимания основ информационной безопасности, и здесь кроется первая и основная проблема, – добавил Дмитрий Ефимов. – Одно из ключевых решений: DevSecOps (от англ. Development Security и Operations). Это подход к разработке, где во все стадии жизненного цикла разработки информационных систем и приложений встраиваются стандарты по информационной безопасности. Опуская детальные подробности, можно отметить, что это большое количество встраиваемых в код инструментов для поиска критических ошибок в коде и постоянного тестирования. Когда разработчики допускают ошибки в разработке, то они попадают в продакшн. Уже на готовой работающей системе проводится пентест (тест, позволяющий оценить защищенность кода) и приходит понимание о необходимости срочной доработки. Но при этом не редко наступает следующее понимание: «Код нужно переписывать чуть ли не полностью, а это миллионы строк». В итоге стоимость работ вырастает в геометрической прогрессии, и к этим цифрам можно добавить возможный простой организации с «глючным и дырявым» ПО, время на тестирование и исправление багов».

«Правильный подход – это сразу учитывать и прогнозировать возможные риски. Требуется постоянное обучение и повышение знаний разработчиками, использование только передовых технологий и подходов, изучение предметной области всеми участниками разработки. Проведение тестирований на всех этапах разработки и регулярный мониторинг проблем в продакшне. Обеспечить при разработке удобный функционал обновления систем в части «закрытия» проблем информационной безопасности», – отметил Дмитрий Ефимов.

Геннадий Ефремов

Короткая ссылка