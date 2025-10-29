Роскачество и "Солар" заявили об уязвимостях приложений доставки

Выявленные уязвимости открывают хакерам легкий доступ к личной, финансовой и конфиденциальной информации пользователей, свидетельствуют результаты исследования

МОСКВА, 29 октября. /ТАСС/. Сервисы доставки еды и товаров оказались самыми уязвимыми с точки зрения безопасности пользовательских данных. Критические уязвимости, позволяющие перехватывать личную и финансовую информацию, выявлены в подавляющем большинстве проанализированных приложений, свидетельствуют результаты совместного исследования Центра цифровой экспертизы Роскачества и группы компаний "Солар" (есть в распоряжении ТАСС).

Эксперты проанализировали около 70 популярных приложений сервисов доставки готовой еды, онлайн-аптек, маркетплейсов и других категорий с рейтингом выше 4 баллов и более 500 тыс. скачиваний. Всего аналитики выявили пять основных категорий уязвимостей, которые позволяют киберпреступникам реализовать MITM-атаки (man in the middle, "человек посередине") и приводят к передаче конфиденциальной информации, личных и финансовых данных в руки злоумышленников.

"По итогам исследования были выявлены критичные уязвимости, которые открывают хакерам легкий доступ к самому ценному - личной, финансовой и конфиденциальной информации пользователей. Наибольшее беспокойство вызывает тот факт, что уязвимыми оказались приложения, охватывающие миллионы людей", - сказал руководитель развития бизнеса ПО Solar appScreener Владимир Высоцкий.

Основные уязвимости

Во всех исследованных приложениях сервисов доставки еды, онлайн-аптек, сервисов по заказу товаров для дома и дачи, а также в 75% приложений маркетплейсов электроники и бытовой техники эксперты выявили обращение к DNS - эксплуатация этой уязвимости позволяет хакерам перенаправить трафик на поддельные серверы и перехватить данные, создает риск компрометации пользовательских данных и загрузки вредоносного контента. Например, если пользователь открывает приложение с подобной уязвимостью, есть риск, что из-за подмены DNS-записи запрос может быть направлен на поддельный сервер, внешне полностью похожий на оригинал, при вводе логина и пароля пользователь таким образом передает их злоумышленнику.

Второй из наиболее распространенных уязвимостей стала небезопасная рефлексия, эксплуатация этого недостатка ПО позволяет злоумышленнику вызывать внутренние или приватные методы приложения, обходить проверки доступа и выполнять произвольный вредоносный код, что ведет к утечке данных и нарушению целостности работы софта. Эта уязвимость выявлена у подавляющего большинства исследованных приложений, реже - в 75% случаев - в приложения маркетплейсов для заказа электроники и бытовой техники.

Небезопасная собственная реализация SSL замыкает тройку самых распространенных уязвимостей. Она позволяет нарушить подлинности сертификатов защиты данных и установить защищенное соединение без должной валидации. При эксплуатации этой уязвимости хакеры также могут выполнить MITM-атаку, перехватить или подменить передаваемые данные, что ведет к компрометации конфиденциальной информации. Наиболее уязвимыми сервисами по этой категории стали приложения онлайн-аптек (93%), сервисы заказа готовой еды, цветов и подарков (75%), DIY-приложения (72%).

В пятерку уязвимостей также вошли использование слабых алгоритмов хеширования и незащищенного протокола HTTP.

Результаты исследования демонстрируют, что безопасность данных пользователей и приложений требует системного подхода и повышенного внимания не только на этапе готового продукта, но и с первых этапов разработки ПО, отметили аналитики Роскачества и "Солара".