Эксперты предупредили о риске утечек персональных данных из приложений iOS и Android
Специалисты компании Positive Technologies изучили 20 пар приложений российских компаний для iOS и Android и обнаружили, что в каждой из них есть проблемы с хранением данных. Об этом говорится в отчете Positive Technologies, посвященном итогам 2021 года и прогнозам на 2022 год в сфере кибербезопасности (есть у Forbes). По словам руководителя группы исследований безопасности мобильных приложений Николая Анисени, Positive Technologies анализировала преимущественно банковские приложения. В одном приложении может быть до 30 критичных уязвимостей, говорит он.
Самая популярная уязвимость в мобильных приложениях — хранение пользовательских данных в открытом или плохо зашифрованном виде. Реже встречается хранение важных данных в общедоступных папках. В компании отказались раскрыть, сколько всего уязвимостей нашли ее специалисты. Чуть больше трети всех уязвимостей связана с небезопасным хранением данных, говорится в исследовании.
Мобильные приложения неплохо изолированы друг от друга средствами операционной системы, поэтому получить доступ к данным в них непросто, отмечают в Positive Technologies. Но эти данные можно похитить с помощью других уязвимостей, предупреждают в компании. Например, в 2021 году все чаще встречались уязвимости на Android, которые позволяли одному приложению получить доступ к данным другого приложения, чем могли воспользоваться злоумышленники и завладеть информацией о пользователе, говорится в исследовании.
При этом атаковать Android-приложения становится все сложнее: раньше из-за гибкости системы возникали ошибки в коде приложений, через которые злоумышленники могли добраться до важных данных. Сейчас Google стала ограничивать возможность этой операционной системы, говорится в отчете.
В это же время в операционную систему iOS добавляют новые функции, которые разработчики мобильных приложений могут использовать для добавления новых возможностей. Однако новые функции в операционной системе ведут к расширению возможностей для атак.
За последние несколько лет безопасность операционных мобильных систем значительно повысилась, что подталкивает разработчиков полагаться только на встроенные механизмы защиты, говорит эксперт лаборатории практического анализа защищенности центра информационной безопасности «Инфосистемы Джет» Владимир Мартышин. По его словам, к одной из распространенных уязвимостей относится небезопасное хранение данных на устройстве. Хранение паролей, персональных данных в незашифрованном виде в совокупности с другими уязвимостями приводит к утечке конфиденциальной информации из приложений, добавил Мартышин.
В 2021 году самыми скачиваемыми приложениями в России стали TikTok, Telegram, WhatsApp, Instagram и GetContact, писал РБК со ссылкой на отчет компании App Annie, специализирующейся на аналитике мобильной среды. В топ-5 сервисов в России по количеству скачиваний входят «Кинопоиск», YouTube, Okko, ivi и YouTube Kids.