В 2024 году в российских мобильных приложениях для заказа такси, каршеринга и аренды электросамокатов обнаружили 1818 уязвимостей, которые создают риск утечки данных пользователей. При этом, согласно исследованию AppSec Solutions, в 2023 году в приложениях нашли 2488 уязвимостей, однако число критических за год выросло, сообщают «Ведомости».
Аналитики исследовали 98 приложений, связанных с транспортом. Помимо вышеупомянутых категорий, в выборку вошли сервисы для покупки топлива, навигаторы, антирадары, приложения для отслеживания общественного транспорта и проверки штрафов ГИБДД. Все они доступны в App Store, RuStore и Google Play.
В AppSec Solutions подчеркнули, что число критических уязвимостей сильно возросло в сравнении с предыдущим годом: 650 случаев в 2024 году против 141 в 2023 году. По мнению представителей AppSec, большинство проблем с безопасностью наблюдается в сервисах, у которых, вероятно, нет команды по защите информации и которые не уделяют достаточного внимания проверкам своих продуктов.
Рост критических уязвимостей может также быть связан с увеличением числа альтернативных сервисов и приложений. По подсчётам «Ведомостей», в российском сегменте App Store представлено более 30 различных приложений в категории «такси», большинство из которых — локальные региональные сервисы.
Как отмечает Родион Труфанов, руководитель проектов IT-компании EvApps, время и ресурсы, выделяемые на качественную разработку и тестирование, нередко сокращаются в целях оптимизации внешнего вида приложения. Кроме того, добавляет эксперт, рост популярности приложений привлекает больше внимания со стороны хакеров и специалистов по поиску уязвимостей.
«Больше внимания — больше ищут и больше находят», — подчёркивает он.
Увеличение количества уязвимостей в транспортных приложениях отражает тенденцию роста уязвимостей в мобильных приложениях в целом, указывает Александр Блезнеков, руководитель направления по развитию ИБ «Телеком биржи». По его словам, годовой прирост обнаруженных уязвимостей составляет около 20% по всему IT-рынку. Кроме того, приложения для заказа такси или каршеринга часто характеризуются удобством, скоростью и возможностью онлайн-оплаты. Добавление новых функций и использование библиотек с открытым исходным кодом приводят к увеличению объёма кода и, следовательно, к увеличению числа уязвимостей, объясняет Блезнеков. Это, в свою очередь, привлекает внимание злоумышленников.
«Поскольку мы говорим о приложениях, с которыми пользователи делятся своими персональными данными, в том числе данными официальных документов, номерами телефонов, адресами, это может дать злоумышленникам большое поле для деятельности и привести, например, к финансовым потерям», — говорит владелец продукта «Стингрей» экосистемы AppSec Solutions Юрий Шабалин. В худшем случае использование уязвимости может привести к утечке персональных данных пользователя и информации о поездках, добавляет Блезнеков.
Владимир Дащенко, эксперт Kaspersky ICS CERT, отмечает, что в зависимости от типа уязвимости под угрозой могут оказаться не только данные пользователей, но и данные самой компании. Например, это может быть уязвимость, позволяющая злоумышленникам атаковать серверную инфраструктуру владельца приложения.
Эксперты рекомендуют пользователям регулярно устанавливать обновления безопасности, устраняющие уязвимости и ошибки в коде.
Роман Сафиуллин, руководитель отдела защиты информации InfoWatch ARMA, напоминает, что утечка персональных данных пользователей грозит владельцу сервиса административной или даже уголовной ответственностью. Кроме того, уязвимость в приложении может сделать его потенциальной платформой для распространения вредоносного ПО, но такие случаи достаточно редки, заключает он.
Источник новости: habr.com
