Сервисы доставки еды и товаров оказались самыми уязвимыми с точки зрения безопасности пользовательских данных. Критические уязвимости, позволяющие перехватывать личную и финансовую информацию, выявлены в подавляющем большинстве проанализированных приложений, свидетельствуют результаты совместного исследования Центра цифровой экспертизы Роскачества и группы компаний "Солар" (есть в распоряжении ТАСС).
Эксперты проанализировали около 70 популярных приложений сервисов доставки готовой еды, онлайн-аптек, маркетплейсов и других категорий с рейтингом выше 4 баллов и более 500 тыс. скачиваний. Всего аналитики выявили пять основных категорий уязвимостей, которые позволяют киберпреступникам реализовать MITM-атаки (man in the middle, "человек посередине") и приводят к передаче конфиденциальной информации, личных и финансовых данных в руки злоумышленников.
"По итогам исследования были выявлены критичные уязвимости, которые открывают хакерам легкий доступ к самому ценному — личной, финансовой и конфиденциальной информации пользователей. Наибольшее беспокойство вызывает тот факт, что уязвимыми оказались приложения, охватывающие миллионы людей", — сказал руководитель развития бизнеса ПО Solar appScreener Владимир Высоцкий.
Основные уязвимости
Во всех исследованных приложениях сервисов доставки еды, онлайн-аптек, сервисов по заказу товаров для дома и дачи, а также в 75% приложений маркетплейсов электроники и бытовой техники эксперты выявили обращение к DNS — эксплуатация этой уязвимости позволяет хакерам перенаправить трафик на поддельные серверы и перехватить данные, создает риск компрометации пользовательских данных и загрузки вредоносного контента. Например, если пользователь открывает приложение с подобной уязвимостью, есть риск, что из-за подмены DNS-записи запрос может быть направлен на поддельный сервер, внешне полностью похожий на оригинал, при вводе логина и пароля пользователь таким образом передает их злоумышленнику.
Второй из наиболее распространенных уязвимостей стала небезопасная рефлексия, эксплуатация этого недостатка ПО позволяет злоумышленнику вызывать внутренние или приватные методы приложения, обходить проверки доступа и выполнять произвольный вредоносный код, что ведет к утечке данных и нарушению целостности работы софта. Эта уязвимость выявлена у подавляющего большинства исследованных приложений, реже — в 75% случаев — в приложения маркетплейсов для заказа электроники и бытовой техники.
Небезопасная собственная реализация SSL замыкает тройку самых распространенных уязвимостей. Она позволяет нарушить подлинности сертификатов защиты данных и установить защищенное соединение без должной валидации. При эксплуатации этой уязвимости хакеры также могут выполнить MITM-атаку, перехватить или подменить передаваемые данные, что ведет к компрометации конфиденциальной информации. Наиболее уязвимыми сервисами по этой категории стали приложения онлайн-аптек (93%), сервисы заказа готовой еды, цветов и подарков (75%), DIY-приложения (72%).
В пятерку уязвимостей также вошли использование слабых алгоритмов хеширования и незащищенного протокола HTTP.
Результаты исследования демонстрируют, что безопасность данных пользователей и приложений требует системного подхода и повышенного внимания не только на этапе готового продукта, но и с первых этапов разработки ПО, отметили аналитики Роскачества и "Солара".