Поделиться
Две трети банковских приложений в российских магазинах содержат уязвимости
Более 30% уязвимостей высокого и критического уровня. Это может привести к утечкам данных. Компания AppSec Solutions подвела итоги исследования за 2024 г. мобильных приложений с помощью продукта «Стингрей». Об этом CNews сообщили представители AppSec Solutions.
Мониторингу подверглись приложения в категории «финансы». В общей сложности, платформа для анализа «Стингрей» проверила 95 приложений, как правило, это продукты банков, а также микрокредитования и страхования. По сравнению с 2023 г. количество уязвимостей программного обеспечения сократилось, однако процент серьезных проблем в ПО стал выше.
В ходе исследования было обнаружено 1583 уязвимости, из них больше трети – 569 – критического и высокого. Для сравнения, в 2023 г. в приложениях для финансов уязвимостей в целом было больше, около 4,5 тыс., однако только 183 из них были действительно опасными.
«В сфере финтех на мобильные приложения распространяются требования регуляторов. Если у тебя приложение финансовой организации, то ты обязан хотя бы дважды в год проходить пентест (тестирование на проникновение и безопасность – прим. авт) и устранять проблемы. Владельцы таких приложений финансово заинтересованы в их защищенности. В то же время, мы видим, что появляются уязвимости, которых раньше не было, а это означает, что киберзащита – это ежедневная необходимость, поскольку обнаруженные уязвимости при наличии у злоумышленников определенной квалификации могут привести к несанкционированному доступу к данным пользователей, – сказал владелец продукта «Стингрей» компании AppSec Solutions Юрий Шабалин.
Одна из часто встречающихся уязвимостей в финтех-приложениях – хранение секретов для доступа к сторонним сервисам в открытом виде. Эта проблема встречается в исследовании более 60 раз, и может теоретически привести к доступу в сторонние сервисы от имени приложения, что может привести к прямым финансовым или репутационным потерям для компании. Среди распространенных ошибок исследователи отмечают хранение чувствительной информации в приватных файлах, хранение найденной чувствительной информации в приложении, попадание текста из пользовательского ввода в файлы приложения, и другие существенные проблемы.
Для сравнения, в 2023 г. основными и наиболее критичными уязвимостями были небезопасная конфигурация сетевого взаимодействия, приложения разрешали соединение по незащищенному протоколу. Было также выявлено хранение чувствительной информации в исходном коде финансовых приложений.
Хотя, отмечают эксперты, среди исследованных приложений есть и те, где не было найдено уязвимостей вообще. Как правило, это мобильные приложения крупнейших банков, которые давно и активно применяют практики DevSecOps.
Короткая ссылка
