99% общедоступных мобильных приложений содержат уязвимости

Почти 100-процентная беззащитность

Порядка 99% бесплатных общедоступных приложений имеют уязвимости к хакерским атакам, рассказал SecPost руководитель направления анализа защищенности «Кросс Технолоджис» Василий Коровицын. При этом из-за искусственного интеллекта количество приложений в App Store выросло на 84% в 2025 году. В качестве причин отсутствия систем защиты Коровицын называет низкие бюджеты и сжатые сроки на разработку, а также отсутствие DevSecOps — платформы, интегрирующей безопасность во все этапы жизненного цикла разработки программного обеспечения

«Еще одна важная причина распространенности уязвимостей в таких приложениях — вайб-кодинг», — добавил он. По его словам, в приложениях, созданных при помощи ИИ, обычно фиксируется в 10-15 раз больше уязвимостей, при этом не все они проходят тестирование на безопасность.

«Если говорить о приложениях от известных разработчиков, приложениях больших компаний, то количество уязвимостей здесь будет примерно равным, при этом именно выявленных будет больше в приложениях компаний из финсектора, ритейла, IT: хакеры проявляют особое внимание к этим отраслям, поэтому и проверки, и вскрытия новых брешей здесь происходят чаще», — объяснил специалист.

Ранее эксперты компании «Информзащита» выявили, что число компаний, столкнувшихся с инцидентами в сфере безопасности мобильных приложений, за два месяца 2026 года увеличилось на 11% и достигло 72% от общего числа организаций, использующих мобильные каналы взаимодействия с клиентами. Исследование подтверждает слова Коровицына относительно самых атакуемых отраслей экономики. Так, 24% от общего числа зарегистрированных случаев пришлось на финансовый сектор. Ритейл и e-commerce заняли 19%, «что связано с ростом мобильных платежей и программ лояльности». На телекоммуникации пришлось 14%, там атаки часто направлены на злоупотребление бонусными и подписочными сервисами. Государственный сектор — 12%, остальные 31% распределились между логистикой, медиа и сервисами доставки.

Руководитель разработки PT MAZE компании Positive Technologies Николай Анисеня подтверждает высокий процент незащищенных мобильных приложений на рынке, однако его цифры более оптимистичны. По словам специалиста, около 75% приложений в Google Play не содержат вообще никаких признаков защиты. «Рынку еще предстоит научиться использовать современные подходы к обеспечению безопасности мобильных приложений, тренд уже есть, но задают его наиболее продвинутые разработчики, которые не хотят ждать взлома и действуют на опережение», — отметил он.

В конце марта этого года исследовательская группа McAfee по мобильным угрозам обнаружила масштабную кампанию по распространению вредоносного ПО для Android. Приложения были доступны в Google Play: это были игры, программы, связанные с уборкой, редакторы фото и так далее. В общей сложности все эти программы были загружены более 2,3 млн раз.

Число выявленных уязвимостей продолжает расти

В компании «Кросс Технолоджис» приводят свежую статистику: за 4 месяца 2026 года компания выявила на 36% больше уязвимостей в приложениях, чем в 2025 году. При этом такой рост объясняется скорее не активизацией хакеров.

«Количество обнаруженных уязвимостей растет, но не стоит рассматривать это как исключительно негативную тенденцию: основной рост приходится на то, что анализ на уязвимости начинают проводить чаще, компании внедряют инструменты автоматизированного тестирования», — объяснил Коровицын.

Основатель агентства белых хакеров Singleton Security и образовательного центра киберэкспертизы CyberED Егор Богомолов в свою очередь заявляет о снижении числа уязвимостей: за первый квартал 2025 года было выявлено 40 уязвимостей, в 2026 году — 27 уязвимостей. При этом изменился характер найденных «брешей» в мобильных приложениях.

«В 2025 году преобладали массовые, типовые уязвимости (небезопасное хранение данных, brute force и так далее), в 2026 году становится меньше уязвимостей, но появляются более сложные и архитектурные проблемы (захват аккаунта, атаки наложения экрана, атаки на API)», — подчеркнул Богомолов.

По его словам, в настоящее время многие компании уделяют вопросам информационной безопасности повышенное внимание: уязвимости оперативно закрываются, но происходит смещение рисков в сторону более сложных сценариев атак. Риски стали более концентрированными и критичными.

Риски в 2026 году

Как объясняет Богомолов, в 2026 году характер уязвимостей изменился. В частности, устранены уязвимости, связанные с перебором данных (brute force), проблемами с PIN-кодом и прохождением процедуры аутентификации, снизилось количество проблем с хранением пользовательских данных.

«Ключевое изменение — переход от количества к критичности уязвимостей, базовые проблемы устранены, но остаются архитектурные проблемы контроля доступа», — сказал он.

Так, в 2026 году зафиксировано появление критической уязвимости, связанной с захватом учетной записи пользователя (Account Takeover). Кроме того, сохраняются системные недостатки: контроль доступа (включая IDOR-уязвимости и ошибки авторизации), защита конфиденциальных данных, сетевая безопасность (в том числе использование SSL/TLS и передачи данных). Также появляются новые классы угроз, в том числе атаки на уровне пользовательского интерфейса (overlay attacks) и утечки данных через API мобильных приложений.

«Остаются неустраненными уязвимости, связанные с компрометацией чувствительных данных: утечка токенов аутентификации, раскрытие идентификаторов пользователей, небезопасное хранение ключей доступа и других критичных данных», — добавил он.

В конце октября 2025 года Центр цифровой экспертизы Роскачества и группа компаний «Солар» привели результаты совместного исследования, по которому приложения сервисов доставки еды, онлайн-аптек, сервисов по заказу товаров для дома и дачи, а также 75% приложений маркетплейсов электроники и бытовой техники имели уязвимости, связанные с доменной инфраструктурой. Это в теории может позволить хакерам перенаправить трафик на поддельные серверы и перехватить данные, что создает риск компрометации пользовательских данных и загрузки вредоносного контента.

Коровицын называет наиболее распространенными в 2026 году слабыми местами мобильных приложений ошибки аутентификации, недостаточный контроль доступа, небезопасные конфигурации, например, открытые облачные хранилища.

«Если распределять по уровню критичности, то большинство уязвимостей носят средний или низкий характер опасности: общедоступность инструментов разработки, удешевление процесса создания приложения приводят к тому, что в них уязвимости оказываются максимально простыми», — уточнил он.

Как считает Анисеня, не каждый недостаток безопасности можно считать уязвимостью: иногда приложения вынужденно содержат их, потому что так устроена технология.

«Например, невозможно полностью запретить создание вредоносных клонов и модов, исследование приложений методами реверс-инжиниринга, вырезание рекламы или разблокировку платных функций», — сказал специалист.

Кроме того, некоторые «секреты» по своей природе вынужденно находятся в коде приложения (by design), и это не считается уязвимостью, несмотря на «ощутимые риски». По его словам, с появлением LLM (систем искусственного интеллекта, обученных на огромных массивах данных) весь этот потенциал начинает реализовываться злоумышленниками в разы дешевле и эффективнее.

«Парадокс в том, что с такими недостатками справиться как раз проще всего, не нужно внедрять сканеры уязвимостей, нанимать команду экспертов по безопасности или регулярно проводить тестирование защищенности. Достаточно защитить приложение протектором — и стоимость атаки кратно возрастет», — отметил он.