Центр цифровой экспертизы Роскачества и группа компаний (ГК) «Солар» провели совместное исследование мобильных приложений, опубликованных на платформах iOS и Android. В рамках исследования были проанализированы 70 ресурсов популярных сервисов доставки готовой еды, онлайн‑аптек, маркетплейсов по продаже товаров для дома и дачи, бытовой техники и электроники, сервисов доставки цветов. Для исследований выбирались приложения, имеющие рейтинг более 4 баллов и набравшие от 500 тысяч скачиваний на сентябрь 2025 года.
Наиболее массовыми стали группа сервисов доставки готовой еды, которыми суммарно пользуются 50 млн человек, и приложения магазинов электроники и бытовой техники, которыми пользуются 72 млн покупателей. В категории онлайн‑аптек максимальный охват аудитории составил 26,5 млн пользователей, в категории DIY были представлены сервисы, скачанные 15 млн раз.
Большая часть исследованных приложений работает с поддержкой операционной системы Android. Для выявления уязвимостей и недекларированных возможностей использовались технологии автоматического бинарного анализа, без осуществления реверс-инжиниринга.
Аналитики выявили в исследуемых приложениях 5 основных категорий уязвимостей, позволяющих киберпреступникам реализовать MITM‑атаки (man in the middle, «человек посередине») и приводящих к передаче конфиденциальной информации в руки злоумышленников.
Первой наиболее распространённой категорией уязвимостью, найденной в приложениях, эксперты называли обращение к DNS. Обращение к DNS было найдено во всех исследованных приложениях сервисов доставки еды, онлайн‑аптек, сервисов по заказу товаров для дома и дачи, а также в 75% приложений маркетплейсов электроники и бытовой техники. Эксплуатация такой уязвимости даёт хакерам возможность перенаправить трафик на поддельные серверы и перехватить данные, создаёт риск компрометации пользовательских данных и загрузки вредоносного контента.
Второй из наиболее распространённых категорий уязвимостей из исследований стала небезопасная рефлексия. С помощью этой бреши злоумышленник может вызывать внутренние или приватные методы приложения, обходить проверки доступа и выполнять произвольный вредоносный код, что ведёт к утечке данных и нарушению целостности работы софта. Уязвимость была выявлена у подавляющего большинства исследованных приложений, а в 75% случаев — в приложениях маркетплейсов для заказа электроники и бытовой техники.
Третья категория уязвимостей — небезопасная собственная реализация SSL. Она позволяет нарушить подлинность сертификатов защиты данных и установить защищённое соединение без должной валидации. При эксплуатации этой уязвимости хакеры также могут выполнить MITM‑атаку, перехватить или подменить передаваемые данные, что ведёт к компрометации конфиденциальной информации.
Наиболее уязвимыми сервисами по этой категории (93%) стали приложения онлайн‑аптек, (75%) сервисы заказа готовой еды, цветов и подарков, (72%) DIY‑приложения. При этом подобная уязвимость была выявлена в 50% исследованных приложений маркетплейсов электроники и бытовой техники.
Следующей категорией уязвимостей стало использование слабых алгоритмов хеширования, создаёт риск восстановления паролей при компрометации базы данных и позволяет подделывать данные из‑за возможностей коллизий, что может привести к нарушению целостности и конфиденциальности информации. Эксперты отмечают, что озвученная уязвимость выявлена в 75% исследованных приложений во всех категориях.
Пятой распространённой категорией уязвимостей выступило использование незащищённого протокола HTTP. Если в приложении вместо HTTPS используется HTTP, то злоумышленники также получают возможность реализовать MITM‑атаку. В этом случае возможна подмена данных, раскрытие передаваемой информации, что приводит к утечке конфиденциальных данных и нарушению принципа конфиденциальности в информационной безопасности.
Как отмечают специалисты Роскачества и «Солара», результаты исследования показали, что безопасность данных пользователей и приложений требует системного подхода и повышенного внимания на этапе готового продукта и с первых этапов разработки ПО. Эксперты рекомендуют разработчикам внедрить цикл безопасной разработки (Secure SDLC) в соответствии с ГОСТ и международными стандартами OWASP.
Источник: habr.com