В 2024 году образовательные приложения, представленные в российских магазинах, вышли на первое место по количеству найденных критических уязвимостей. Эксперты AppSec Solutions подсчитали, что в таких приложениях было обнаружено 683 критических уязвимости, которые открывали доступ к личным данным и давали простор для фишинга, сообщают «Ведомости».
Всего в образовательных приложениях в 2024 году нашли 1773 уязвимости (для сравнения, в 2023-м их было 2507). Однако, хотя общее число уязвимостей снизилось, по словам директора по продукту «Стингрей» компании AppSec Solutions Юрия Шабалина, каждая четвёртая несёт в себе риск серьёзных последствий.
Отмечается, что некоторые приложения допускают хранение конфиденциальной информации, такой как пароли или персональные данные пользователей, в общедоступных файлах, что облегчает доступ к ним злоумышленникам. В прошлом году было зарегистрировано более 200 подобных случаев в категории «Образование», в то время как в 2023 году их было 135, уточнил источник в компании.
«В целом хранение чувствительной информации в том или ином доступном для потенциальных хакеров виде — это, пожалуй, наиболее серьёзная проблема, с последствиями которой приходится иметь дело ИБ-инженерам компаний», — заявляет Шабалин. По его словам, последствия такой практики могут быть самыми печальными: рассылка злоумышленниками фишинговых ссылок от имени приложения, компрометация персональных данных пользователей, слив рекламных бюджетов компании и многое другое.
По мнению руководителя департамента аудита и консалтинга F6 Евгения Янова, тенденция обусловлена недостаточным финансированием и ограниченными бюджетами на отделы информационной безопасности (ИБ) или проведение внешних аудитов. Другой причиной может быть значительный рост популярности EdTech-приложений в последние годы. Янов поясняет, что разработчики, стремясь оперативно расширять функциональность и интегрировать сторонние сервисы, не всегда уделяют достаточно внимания безопасной разработке и оценке безопасности релизов.
В общей сложности AppSec Solutions проанализировала около 2000 наиболее скачиваемых мобильных приложений из App Store, RuStore и Google Play, обнаружив 32 490 уязвимостей, в сравнении с 41 493 в 2023 году.
Эксперты отмечают, что около 70% десктопных и мобильных сервисов содержат как минимум одну критическую уязвимость. Пробелы в коде могут использоваться для несанкционированного доступа к сервисам, запуска вредоносного ПО и кражи конфиденциальных данных, таких как история посещений сайтов, IP-адреса, адреса электронной почты, а также более чувствительной информации, включая пароли.
Источник новости: habr.com
