Приложения накопили опасные уязвимости

В популярных российских Android-приложениях нашли 48,8 тыс. уязвимостей за год. Самая тревожная часть не в самой цифре, а в том, что опасные ошибки всё чаще живут рядом с токенами, ключами и пользовательскими данными.


Российские мобильные приложения снова оказались слабым местом цифровой повседневности. В ежегодном исследовании AppSec Solutions в выборку вошли 1269 популярных Android-программ из 19 категорий. Их тестировали методом «чёрного ящика» — без доступа к исходному коду, то есть ближе к тому, как приложение видит внешний атакующий.

Итог получился жёстким: 84% приложений содержат уязвимости высокого или критического уровня. Всего найдено 48 843 проблемы. Для сравнения, годом ранее в похожем исследовании фигурировали почти 30 тыс. уязвимостей. В свежей оценке число критических угроз превысило 19 тыс.

Речь не только о технических дефектах, которые видит узкий круг специалистов. Такие ошибки могут открывать доступ к данным, ключам, токенам, внутренним сервисам и сторонним интеграциям. Среди частых проблем AppSec Solutions выделяет небезопасное хранение данных в открытом виде, уязвимости IPC и риски, связанные со сторонними компонентами. Отдельная боль — чувствительная информация, зашитая прямо в код приложения.

Это особенно опасно для сервисов, которыми человек пользуется каждый день: банков, маркетплейсов, доставки, медицинских и деловых приложений. В финансовом секторе число наиболее опасных уязвимостей за три года выросло почти в десять раз и достигло 1921 случая. Чем сложнее приложение, тем больше в нём сторонних библиотек, SDK, облачных связок, модулей для платежей, биометрии, поддержки и уведомлений.

На этом фоне искусственный интеллект становится не причиной всех проблем, а ускорителем старых. Код пишется быстрее, но вместе с этим быстрее тиражируются небезопасные решения. Языковая модель может собрать рабочий фрагмент, но не всегда отличает актуальную безопасную практику от устаревшего примера, на котором сама была обучена. Если такой код уходит в продукт без нормальной проверки, ошибка перестаёт быть единичной и начинает размножаться.

Для пользователя вывод неприятный: значок приложения на экране давно не означает, что внутри всё устроено аккуратно. За удобством могут стоять открытые ключи, слабая защита хранилищ и чужие компоненты, которые никто вовремя не пересмотрел. Для компаний проблема ещё жёстче. Разовая проверка перед релизом уже не закрывает риск, если приложение обновляется быстро, а безопасность догоняет разработку в конце очереди.

ИЗНАНКА

Смартфон давно стал кошельком, пропуском, кабинетом врача и рабочим столом. Поэтому уязвимость в приложении — это уже не техническая мелочь из отчёта, а слабая дверь в обычную жизнь пользователя. И чем быстрее бизнес выпускает новые функции, тем дороже обходится привычка проверять безопасность потом.

Фото: ИЗНАНКА

ИЗНАНКА — другая сторона событий.