Представляем результаты нового исследования защищенности российских мобильных приложений

Привет, Хабр!


Снова с вами команда «Стингрей Технолоджиз», разработчик платформы анализа защищенности мобильных приложений. Мы хотим поделиться результатами нашего нового исследования по безопасности мобильных приложений российских разработчиков. Полный текст можно найти по ссылке, а здесь мы расскажем о самом главном. Поехали!


Итак, результаты анализа показали, что 56% программных продуктов содержат уязвимости высокой и наивысшей степени критичности. Этот показатель исследования, проведенного в конце 2023 года, оказался гораздо ниже цифры прошлого анализа (конец 2022г.), который выявил наличие серьезных проблем у 83% приложений. То, что мобильные разработчики всерьез взялись за безопасность, не может не радовать.

Общее число проанализированных в 2023г. приложений достигло 1816. В них было обнаружено 25 854 уязвимости с разным уровнем критичности (13 – критичного уровня, 2339 – высокого, 7928 – среднего, остальные – низкого). Все мобильные продукты были скачаны из открытых источников. При оценке уровня риска найденных ошибок наша команда учитывала сложность проведения потенциальных атак, а также степень их влияния на пользовательские данные и само приложение.

Детально мы рассмотрели в рамках исследования уязвимости из нескольких основных категорий: сетевое взаимодействие, конфигурация приложений, хранение ключей и сертификатов, хранение чувствительной информации, использование криптографии, уязвимости межпроцессного взаимодействия. Подробную информацию о каждой из них можно найти в тексте исследования.

Наибольшее число опасных проблем было найдено в приложениях следующих категорий: развлечения (140), образование (118), утилиты (94), бизнес-сервисы (79), транспорт (69), социальная сфера (69), объявления и услуги (69), государственные (63).

Обнаруженные проблемы безопасности позволяют получить доступ к персональным данным и настройкам мобильных продуктов, изменить их или применить для таргетированных атак, завладеть аккаунтами пользователей, произвести хищения денежных средств, реализовать сценарии с применением социальной инженерии.

Исследование проводилось методом «черного ящика», то есть атакующий не имел доступа к исходному коду. Эксперты проверяли безопасность ПО с помощью Стингрей — платформы автоматизированного анализа защищенности мобильных приложений. Также они оценивали каждую обнаруженную проблему с точки зрения критичности и изучали возможные векторы атак.

Как вы знаете, наша команда постоянно работает над поиском уязвимостей в мобильных продуктах и раз в год делает исследование на эту тему. Отрадно видеть, что тема безопасности действительно заботит сегодня разработчиков и они уделяют ей все больше внимания. Это действительно важно, поскольку все мы используем приложения для банковских операций, связи, покупок, работы и развлечений и, соответственно, храним в них много личной и финансовой информации. Небезопасные мобильные продукты подвергают риску защищенность пользователей, что нередко приводит к финансовым потерям, ущербу репутации и даже юридической ответственности для компаний.

Материал опубликован при поддержке сайта habr.com
Комментарии

    Актуальные новости по теме "Array"