Треть российских мобильных приложений может быть целью для атаки хакеров

Треть российских мобильных приложений, выходящих на рынок, может быть взломана из-за небезопасного хранения данных, сообщили ТАСС в пресс-службе разработчика решений для защиты мобильных приложений Stingray Technologies.

“Эксперты Stingray Technologies проанализировали более 50 различных приложений и обнаружили, что 50% из них хранят данные в открытом виде, что позволяет злоумышленникам атаковать их пользователей”, – сказали в компании.

В компании отметили, что проблемы в основном касаются “молодых” приложений, которые только выходят на рынок, а также разработок стартапов. Однако слабые места в системе безопасности встречаются и в более крупных организациях.

Исследователи обнаружили, что небезопасное хранение аутентификационных данных, включая пароли и cookies, существовало в 20 процентах рассмотренных приложений, токены, используемые для доступа к сторонним ресурсам, существовали в 60 процентах приложений, а личная информация, включая номера телефонов, полные имена и контактные данные пользователей, существовала в явном виде в 30 процентах приложений.


Кроме того, некоторые разработчики хранили в приложениях нежелательные данные, которые не должны были быть включены в релиз – например, сертификаты с серверов разработки или тестовые файлы – такие данные были обнаружены в 10 процентах исследованных приложений.

Разработчики также неправильно использовали криптографию в 15 процентах приложений – это включало ненадежное хранение ключей шифрования (в 20 процентах исследованных приложений) и использование устаревших алгоритмов (в 40 процентах).

“Еще 40 процентов составили различные недостатки, в том числе использование одного ключа для шифрования разных данных”, – подчеркнули в пресс-службе.

Злоумышленники часто могут получить доступ к незащищенной информации через уязвимости, позволяющие сторонним приложениям читать внутренние файлы, или через облачные резервные копии, если учетная запись пользователя была ранее скомпрометирована, пояснили в компании. Кроме того, если ключи шифрования хранятся неправильно, злоумышленник может получить к ним доступ через уязвимость для чтения произвольных файлов в приложении.


Екатерина Ефимова

Биография: Редактор сайта, опыт работы 7 лет, пишу на тему политики, экономики, общество, армия и другие актуальные темы caterina.fyrfyr@yandex.ru, Telegram, OK, сот. 8(999)524-89-60