Анализ около полусотни популярных мобильных игровых приложений, проведенный с помощью инструмента AppSec.Sting, выявил порядка 700 уязвимостей. Из них 90 были классифицированы как уязвимости высокого и критического уровня.
По словам руководителя отдела анализа защищенности AppSec.Sting компании AppSec Solutions Никиты Пинаева, среди наиболее опасных обнаруженных проблем — хранение чувствительной информации в открытом виде. В частности, в 12 приложениях в исходном коде содержались пароли и токены, что облегчает хакерам взлом системы. Также в 13 приложениях отсутствовала проверка целостности, позволяющая злоумышленникам модифицировать логику игры.
Эксперт выделил три ключевые проблемы безопасности. Первая — избыточное доверие к клиентской логике. Во многих приложениях критически важные механики, такие как расчет наград и прогресса, реализованы на стороне клиента без должной серверной проверки. Это позволяет злоумышленникам изменять данные в памяти или подменять локальное состояние, что нарушает игровую экономику и честность процесса.
Вторая проблема — небезопасное хранение данных и недостаточная защита сетевого взаимодействия. В ряде игр чувствительные данные хранились локально без шифрования, а сетевое соединение не имело достаточных проверок подлинности. Это создает риски утечки пользовательской информации и автоматизации мошеннических сценариев.
Третья проблема — отсутствие эффективной защиты от реверс-инжиниринга и модификации. Многие приложения поставлялись без обфускации кода и проверок целостности, что упрощает анализ бизнес-логики и распространение взломанных версий.
В совокупности эти уязвимости представляют серьезные бизнес-риски, включая финансовые потери и репутационный ущерб для разработчиков.
Пользователи могут повысить свою защищенность, следуя нескольким рекомендациям: устанавливать игры только из официальных источников, избегая сторонних магазинов; с осторожностью относиться к модификациям и «взломанным» версиям; ограничивать разрешения, предоставляемые приложению; своевременно обновлять игры и операционную систему; а также использовать уникальные пароли для игровых аккаунтов.