Почти 30 тыс. уязвимостей обнаружили специалисты AppSec Solutions в российских мобильных приложениях.

Сервис «Стингрей», который специализируется на безопасности мобильных приложений, подвел итоги ежегодного исследования безопасности мобильных приложений. В выборку вошли приложения, входящие в топ-100 по скачиванию в каждой тематической категории. Первые выводы – 88,6% приложений содержат уязвимости уровня critical и high, что говорит о растущей опасности хакерских атак на мобильные приложения. Об этом CNews сообщили представители AppSec Solutions.

Так в 2024 г. было выявлено 29952 уязвимостей, среди них 83 критически опасных и 8887 высокого уровня серьезности. Для сравнения, в 2023 г. при общем количестве в 41493 уязвимости самых опасных было обнаружено всего 22, и высокого уровня серьезности – 2283. Это, по мнению экспертов AppSec Solutions, говорит о том, что при росте качества анализа кибербезопасности разработчики мобильных приложений зачастую не успевают или не умеют качественно противостоять угрозам хакерских атак, в первую очередь, за счет дефицита специалистов по DevSecOps.

AppSec Solutions

«За год мы доработали сервис «Стингрей», он стал гораздо точнее находить и приоритезировать уязвимости, исключая ложные срабатывания. Это облегчает работу AppSec-инженеров, поскольку у них освобождается время на работу с действительно серьезными проблемами. Однако и количество этих проблем за последний год выросло в несколько раз, а с учетом появления новых видов угроз, это серьезный риск для владельцев приложений. Несмотря на серьезность последствий, с которыми регулярно сталкиваются компании, разработчики по-прежнему совершают те же ошибки, в первую очередь, хранят чувствительные данные, такие как пароли, индентификаторы, токены в открытом виде, облегчая работу злоумышленников», – сказал директор по продукту «Стингрей» компании AppSec Solutions Юрий Шабалин.

Команда «Стингрей» проанализировала 1675 мобильных приложений в 18 тематических категориях. «Чемпионами» по общему количеству выявленных проблем оказались приложения в категории «Медицинские сервисы», однако большинство из уязвимостей в этой категории не носят критический характер. На втором месте – «Цифровые сервисы», самая разнообразная категория, куда входят приложения телеком-операторов, почта, платформы для вебинаров, сервисы конференций. За счет «разношерстности», рассказывают исследователи, в этой категории много приложений, где к безопасности разработчики отнеслись довольно прохладно, оставив массу недочетов.