Более половины российских приложений имеют уязвимости высокого и наивысшего уровня критичности

Число кибератак растет ежегодно, злоумышленники постоянно находят новые лазейки. Все это требует усиленных мер по кибербезопасности, разработке и внедрению более надежных систем защиты данных. Несмотря на то, что доля российских приложений с уязвимостями наивысшего и высокого уровня критичности за год сократилась, все еще более чем у половины сервисов есть серьезные недостатки. Об этом говорится в исследовании компании «Стингрей Технолоджиз». 

По итогам 2023 года уязвимости уровней Critical и High имеют 56% российских мобильных приложений. Годом ранее подобные проблемы были обнаружены у 83% изучаемых сервисов. 

Мобильные приложения проверялись с помощью платформы автоматизированного анализа защищенности «Стингрей», а эксперты не имели доступа к исходному коду. В исследование включили 1816 приложений. Это более чем в два раза больше, чем было проанализировано в предыдущий раз. 

Если смотреть в разрезе категорий, то более половины приложений из разряда «объявления и услуги» (70%), «новости» (66%) и «ставки и лотереи» (65%) имеют уязвимости уровней Critical и High. Более защищенными оказались приложения из сферы здоровья, финансов и транспорта. В этих категориях критические уязвимости были обнаружены менее чем у половины исследуемых сервисов. 

• Сетевое взаимодействие;
• Конфигурация приложения;
• Хранение ключей и сертификатов;
• Хранение чувствительной информации;
• Использование криптографии;
• Уязвимости межпроцессного взаимодействия;
• Проверка окружения. 

В этой статье мы собрали несколько интересных выводов из исследования. Если вы хотите узнать подробности, то найдете отчет по этой ссылке. 

Чаще всего мобильные приложения имеют проблемы с настройками сетевого взаимодействия и передачей чувствительных данных, отмечают эксперты. Этим пользуются злоумышленники, которые без особых проблем проводят атаки Man In the Middle («человек посередине»).

Согласно исследованию, во всех категориях есть приложения, которые разрешают взаимодействие с любыми серверами по незащищенному протоколу HTTP, что упрощает перехват трафика и повышает риск компрометации данных. Стоит отметить, что обнаруженные уязвимости имеют высокий уровень критичности. Больше всего приложений с такими угрозами оказалось среди государственных (40%) и новостных (39%) сервисов. 

Также во всех категориях была обнаружена небезопасная конфигурация сетевого взаимодействия с высоким уровнем критичности. Чаще всего эта уязвимость встречается у приложений из категории «ставки и лотереи». Эксперты обнаружили ее у 9 из 20 исследуемых продуктов. 

Правильные настройки приложений напрямую влияют на безопасность сервисов. Некорректные конфигурации и другие уязвимости могут повысить риски до критичного уровня. Например, эксперты исследовали наличие обфускации исходного кода. Если ее не будет или ее уровень будет низким, то это облегчит анализ кода и поможет обойти защиту приложения. Исследование показало, что 42,6% изучаемых российских приложений имеют низкий уровень критичности в этой подкатегории уязвимостей, а остальные не содержат таковых. 

Помимо этого почти во всех приложениях были обнаружены небезопасные настройки в AndroidManifest.xml — атрибут hasFragileUserData. Он показывает пользователю запрос на сохранение данных при попытке удаления приложения. Несмотря на распространенность уязвимости, во всех найденных случаях она имела низкий уровень критичности. 

Часть исследования была посвящена хранению чувствительной информации. В рамках анализа удалось выявить, что большая часть приложений имеют уязвимость (низкий уровень) в области хранения чувствительной информации в исходном коде. Эксперты отмечают, что она будет доступна злоумышленниками после декомпиляции и деобфускации кода. В связи с этим хранить в исходном коде данные (токены, пароли, ключи шифрования и др.), которые помогут совершить атаки на сервис, не рекомендуется. 

Особое внимание специалисты уделили использованию криптографии для защиты приложений. Подчеркивается, что экспертов в этой области мало, поэтому часто обнаруживаются ошибки и некорректное применение криптографических алгоритмов и их параметров. Уязвимости в этой категории приводят к расшифровке конфиденциальных данных, внедрению вредоносного кода или выполнению несанкционированных операций.

Анализ российских приложений показал, что почти треть сервисов имеют уязвимость среднего уровня в области шифрования криптографических операций — используют слабый или устаревший алгоритм. Эксперты отмечают, что применение подобных алгоритмов «несет ощущение ложной защищенности» и повышает риски компрометации данных пользователей. 

В отчете подчеркивается важная роль проверки окружения. Уязвимости из этой категориии связаны с недостаточными или отсутствующими мерами безопасности, предназначенными для обнаружения и реагирования на запуск приложений в потенциально небезопасных условиях: на эмуляторах, устройствах с рут-доступом или ослабленными/отключенными системными ограничениями безопасности.

Например, у анализируемых приложений часто встречались уязвимости среднего уровня критичности, связанные с отсутствием проверки на эмулятор и рут-права. В первом случае доля сервисов с недочетами составила 54,7%, во втором — 40%. 

По результатам проведенного анализа, эксперты компании заключили, что защищенность мобильных приложений российских разработчиков улучшилась. Однако основные проблемы безопасности сервисов связаны с наличием базовых уязвимостей.

Ошибки и уязвимости в системе ИБ несут в себе риски, которые могут отразиться на финансах и репутации компании, а также причинить серьезный ущерб пользователям. Чтобы избежать негативных последствий, необходим комплексный анализ безопасности мобильного приложения на всех этапах жизненного цикла. Автоматизированные инструменты проверки безопасности помогают находить проблемы на ранних стадиях разработки, тем самым сокращая расходы на устранение ошибок в будущем. Регулярный анализ систем защиты повышает уровень безопасности приложений, подчеркивают эксперты.  

«Мы видим, что в этом году количество уязвимостей высокого и критического уровней уменьшилось, по сравнению с нашим прошлогодним отчетом. Это не может не радовать, значит, что наши усилия проходят не зря и над безопасностью мобильных приложений начинают работать. Но ситуация пока еще не слишком хорошая, каждое второе приложение имеет серьезные проблемы. И ситуацию ухудшает тот момент, что многие компании вынуждены в крайне сжатые сроки разрабатывать новые версии приложений взамен удаленных из магазинов приложений. Вот и получается, что тщательно проверенное многочисленными пентестами приложение выбрасывается, а взамен ему выкладывается разработанное в спешке новое, где внимание на безопасность уже мало кто обращает. И еще одна большая проблема это то, что компании сами рушат выстроенное годами обучение пользователей, что нельзя устанавливать приложения из недоверенных источников, переходить по ссылкам и тщательно проверять издателя и автора приложения в магазине перед загрузкой. А вот теперь и получается, что организации выпускают под видом сервиса «помощь на дороге» скрытое приложение своего сервиса, и все прочие механизмы по проверке со стороны пользователей не работают. Этим активно пользуются злоумышленники, регулярно выкладывая приложения, нацеленные на кражу данных пользователей. 
 
В общем итоге, с одной стороны внимание к безопасности мобильных приложений растет год от года, но с другой стороны, мы видим новые вызовы и проблемы, которые нужно будет решать в самое ближайшее время и я думаю, что мы в этом обязательно поможем!», — добавил Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». 

ГК Softline имеет большой опыт работы в области информационной безопасности. Портфель продуктов и услуг представлен на сайте. Вопросы по продуктам и услугам компании «Стингрей Технолоджиз» вы можете направить Камилле Сакаевой, руководителю направления безопасной разработки департамента информационной безопасности, на почту Kamilla.Sakaeva@softline.com.