FBK Cybersecurity
 

«Эпидемия» в магазинах мобильных приложений: 89% уязвимостей могут быть проэксплуатированы

По информации «Информзащита» количество атак на API (Application Programming Interface, интерфейс программирования мобильных приложений) за первое полугодие 2022 увеличилось в двое по сравнению с релевантным периодом прошлого года. По данным Positive Technologies 43% приложений выложенных в GooglePlay и 38% приложений в AppStore содержат уязвимости высокого уровня, связанные с небезопасным хранением данных.

Корни проблемы лежат в санкционных ограничениях площадок AppStore и GooglePlay: чтобы получить доступ к приложениям компаний, попавших под санкции, пользователи вынуждены скачивать их в виде APK-файлов, которые ввиду недоработок или злоумышленного вмешательства могут содержать вредоносные элементы или критические уязвимости. Подобные атаки как правило заканчиваются кражей данных, операциями по кредитным картам, приостановкой обслуживания.

«Нельзя сказать, что Google до отключения приложений санкционных компаний обеспечивал полноценную защиту пользователей своих магазинов от приложений, содержащих вредоносные элементы, но сейчас проблема достигла масштабов эпидемии, а для российских пользователей, оказавшихся без возможности безопасно загружать и использовать мобильные приложения компаний, попавших под санкции, она значительно больше. Даже удивительно, что Google при этом попыталась в этом году убрать «список разрешений» из стора, заменив его на раздел «защита данных», в котором все разработчики должны были самостоятельно (под честное слово) публиковать информацию о методах сбора пользовательских данных. Что не удивительно, данная инициатива провалилась и по заявлению компании «скоро» список разрешений вернут обратно. Однако даже это не сильно повлияет на ситуацию. Проблема в том, как разработчики приложений относятся к мехизмам защиты информации: если мы говорим о нефинансовых приложениях, то эта часть разработки не является для их создателей приоритетной и зачастую проводится некачественно.»
Голованов Вадим
Руководитель направления
Анализ и оценка защищенности
FBK CyberSecurity
Другие материалы