Каждая шестая уязвимость в приложениях для знакомств признана критической
Исследование 100 популярных приложений для знакомств выявило около 2000 уязвимостей, 17% из которых имеют критический уровень опасности. Наиболее распространёнными проблемами стали хранение чувствительных данных в исходном коде и незашифрованное сохранение паролей и ключей. Основными причинами уязвимостей стали отсутствие проверки кода на этапе разработки и использование непроверенных open source компонентов.
В ходе исследования 100 популярных приложений для знакомств, включая российские и зарубежные сервисы, специалисты AppSec Solutions выявили около 2000 уязвимостей. По данным компании, 17% из них носят критический характер, 23% — средний, 14% — низкий, а остальные 46% относятся к информационным или техническим ошибкам.
Среди критических уязвимостей наиболее распространённым оказалось хранение чувствительной информации в исходном коде, что было обнаружено в 22 приложениях. В 46 приложениях пароли, токены и ключи доступа сохранялись в незашифрованном виде, как указывается в отчёте. Ещё в 12 сервисах выявлены ошибки в механизмах аутентификации и управления сессиями, а в 40 — некорректная работа облачных сервисов. Всего аналитики зафиксировали 60 различных типов уязвимостей.
В среднем на одно приложение приходится 20–30 уязвимостей, связанных с небезопасным хранением данных, коммуникацией, недостаточной аутентификацией и SQL-инъекциями, как сообщил эксперт мобильного разработчика EvApps.
Основными причинами уязвимостей называют отсутствие проверки кода на этапах разработки и использование непроверенных open source компонентов. Если бы разработчики применяли средства защиты, препятствующие реверс-инжинирингу, количество обнаруживаемых уязвимостей могло бы сократиться на 40%, а в некоторых категориях приложений — на 100%, как отметил эксперт PT Maze в Positive Technologies.
Как указывается в анализе, в приложениях с аудиторией более 50 млн пользователей чаще всего встречаются пять категорий уязвимостей: обращение к DNS, небезопасная рефлексия, небезопасная реализация SSL, использование слабых алгоритмов хеширования и незащищённого протокола HTTP. Эти уязвимости присутствуют как минимум в 75% приложений и позволяют проводить MITM-атаки, ведущие к утечке данных.
Злоумышленники могут использовать такие уязвимости для доступа к переписке, личным данным или расширенному функционалу приложения, что в дальнейшем может привести к шантажу или таргетированным атакам. Кроме того, функция «удалённость от пользователя» в приложениях для знакомств позволяет с высокой точностью определять местоположение других людей, что создаёт риски сталкинга.
Ранее SecPost писал о том, что мошенники распространяют фейковое Android-приложение, имитирующее сервис знакомств, которое под видом оплаты подписки за 1 рубль похищает данные банковских карт жертв.
Читайте также
