МОСКВА, 28 марта. /ТАСС/. Треть российских мобильных приложений, выходящих на рынок, может быть атакована хакерами из-за небезопасного хранения данных, сообщили ТАСС в пресс-службе разработчика решений для безопасности мобильных приложений "Стингрей Технолоджиз".
"Специалисты "Стингрей Технолоджиз" проанализировали более 50 различных приложений сферы финтеха и выяснили, что в 50% из них данные хранятся в открытом виде, что позволяет злоумышленникам атаковать их пользователей", - сообщили в компании.
В компании уточнили, что в большей степени проблемы касаются "молодых" приложений, которые только выходят на рынок, а также разработок стартапов. Однако слабости в защите встречаются и у крупных организаций.
Небезопасное хранение данных аутентификации, включая пароли и файлы cookie, исследователи обнаружили в 20% рассмотренных приложений, наличие токенов для доступа к сторонним ресурсам - в 60%, а личную информация в открытом виде, включая номер телефона, ФИО и контактные данные пользователей - в 30%, уточнили в "Стингрей Технолоджиз".
Также некоторые разработчики хранят нежелательные данные в приложениях, которые вообще не должны были быть включены в релиз - например, сертификаты с dev-серверов или тестовые файлы, такие данные были обнаружены в 10% рассмотренных приложений. Также в 15% приложений разработчики некорректно использовали криптографию - сюда входят небезопасное хранение ключей шифрования (в 20% исследованных приложений), применение устаревших алгоритмов (в 40%). "Еще 40% приходится на различные недостатки, включая использование одного ключа для шифрования различных данных и т. д.", - подчеркнули в пресс-службе.
Как правило, злоумышленники могут получить хранимую в небезопасном виде информацию через уязвимости, которые позволяют сторонним приложениям читать внутренние файлы, а также через облачные резервные копии, если учетная запись пользователя была скомпрометирована ранее, пояснили в компании. Также если ключи шифрования хранятся некорректно, то злоумышленники могут получить к ним доступ через уязвимости чтения произвольных файлов в приложениях.
О компании
Стингрей Технолоджиз - разработчик платформы анализа защищенности мобильных приложений, входит в ГК Swordfish Security, резидент "Сколково". Находится на виртуальной доске благодарностей Google за поиск уязвимостей в Android. Специалисты "Стингрей Технолоджиз" регулярно проводят исследование безопасности мобильных приложений российских и зарубежных разработчиков. Среди клиентов компании - стартапы и крупные организации из сферы финтех, включая "Газпромбанк", "Россельхозбанк" и "Сбермаркет".