Согласно отчету Data.AI, в 2023 году люди проводили в приложениях на своих мобильных устройствах в среднем 4-5 часов каждый день. Мы используем их для общения, банковских операций, работы и развлечений. Представьте, сколько личной и финансовой информации хранится в наших смартфонах. А часто ли перед тем, как установить очередное приложение, вы задумываетесь о том, насколько оно безопасно?
Тем временем каждый второй (56%) мобильный продукт в России содержит опасные уязвимости, а количество атак на пользователей Android-устройств выросло в 1,5 раза. В конце 2023 года наша компания, «Стингрей Технолоджиз», провела исследование защищенности приложений отечественных разработчиков в разных отраслях. В этой статье мы расскажем, какие проблемы безопасности нам удалось обнаружить и как поставщикам защитить свои программы от злоумышленников.
Как проводилось исследование
В рамках исследования мы загрузили 1816 российских мобильных продуктов из популярных магазинов приложений и проверили их методом «черного ящика», при котором атакующий не имеет доступа к исходному коду. Наши эксперты проверяли безопасность ПО с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
Мы подробно изучили программы на различные категории уязвимостей и исследовали возможные векторы атак, такие как сетевое взаимодействие, конфигурация приложения, хранение чувствительной информации, использование криптографии, проверка окружения и многие другие. Уровень критичности обнаруженных проблем эксперты определяли с учетом сложности проведения потенциальных кибернападений, а также степени их влияния на приложение и пользователей.
Что и где удалось обнаружить
Результаты исследования показали, что 56% мобильных приложений содержат уязвимости высокого и критического уровней. Это значительно ниже показателя 2022 года — тогда недостатки безопасности были выявлены в 83% программ.
Всего в ходе анализа наши эксперты обнаружили 25 854 уязвимости с разной степенью риска. Из них 13 — критичного уровня, 2339 — высокого, 7928 — среднего, остальные — низкого. Главной угрозой безопасности мобильных приложений стали базовые проблемы ИБ-систем. К ним относятся:
- Хранение конфиденциальной информации пользователя в открытом виде;
- Хранение секретов от сторонних сервисов и их неправильная настройка, позволяющая получить доступ к расширенному функционалу;
- Отсутствие проверок на окружение, в котором запускается приложение.
Наибольшее количество опасных проблем было обнаружено в приложениях следующих категорий:
- Развлечения — 140;
- Образование — 118;
- Утилиты — 94;
- Бизнес-сервисы — 79;
- Транспорт — 69;
- Социальная сфера — 69;
- Объявления и услуги — 69;
- Государственные — 63.
Если вы хотите подробнее ознакомиться со всеми найденными уязвимостями, рекомендуем изучить полный текст исследования по ссылке.
Выводы исследования
Сравнив результаты исследований за прошедшие два года, можно сделать вывод, что компании стали уделять больше внимания защищенности своих мобильных продуктов. Мы наблюдаем снижение количества критических уязвимостей — это значит, что разработчики стали серьезнее относиться к безопасности и лучше анализировать свои приложения. Однако, несмотря на положительные изменения, остается еще много ИБ-недостатков, которые необходимо решить как можно скорее.
Обнаруженные нами проблемы безопасности дают возможность злоумышленникам завладеть доступом к личным данным пользователей и настройкам мобильных продуктов. Захваченную информацию они могут изменять, использовать для целенаправленных атак и даже для захвата учетных записей клиентов.
Конкурентный рынок заставляет разработчиков выпускать продукты и обновления оперативно, ведь пользователи уже привыкли к тому, что приложения работают быстро и без сбоев. Но в этой гонке важно помнить, что игнорирование проблем безопасности может привести к утечке данных, огромному финансовому и репутационному ущербу, юридическим преследованиям и оттоку клиентов.
В нашем предыдущем материале мы говорили о том, что магазины приложений, к сожалению, пока не проверяют защищенность загружаемых продуктов на должном уровне, поэтому обеспечение безопасности программ находится в руках самих разработчиков. Им стоит серьезно взять во внимание актуальные ИБ-угрозы и постоянно повышать уровень защиты мобильных ПО, чтобы обеспечить безопасность данных пользователей и сохранить их доверие к компании. Ведь кто, если не владельцы приложений, должны заботиться об этом больше всего?
Как улучшить защищенность мобильных приложений
Для того чтобы эффективно выявлять и устранять ИБ-недостатки в мобильных приложениях, организациям необходимо внедрить комплексный анализ защищенности на всех этапах жизненного цикла программы, начиная с разработки архитектуры и заканчивая публикацией в маркетплейсах.
Важно также уделять внимание обучению сотрудников компании — разработчиков, тестировщиков, аналитиков. Знания в области ИБ позволят специалистам понимать методы действия злоумышленников и проводить анализ безопасности приложений, делая программные продукты более надежными и защищенными.
Использование автоматизированных инструментов для анализа безопасности на ранних стадиях разработки позволяет выявлять уязвимости заблаговременно, снижая затраты на устранение ошибок и риски попадания небезопасных версий в магазины приложений и на устройства пользователей. Как показывает наша практика, внедрение таких решений значительно уменьшает угрозу взлома мобильных продуктов.
Регулярные проверки приложений помогут компаниям избавиться от стандартных проблем, повысив уровень безопасности цифровых сервисов и обеспечив защиту клиентов от действий злоумышленников.