Поделиться
Криворукие программисты превратили смартфоны россиян в решето. Приложения для транспорта невероятно дырявые – они содержат тысячи уязвимостей
Российские приложения для транспорта содержат почти 2000 уязвимостей. Это софт для каршеринга, кикшеринта, такси. Их число постепенно снижается, но все равно остается невероятно большим. Это создает огромный риск для пользователей.
Не умеешь – не пиши
Приложения российских сервисов по аренде машин и самокатов, а также для заказа такси наводнены «дырами», угрожающими безопасности пользователей. Как пишут «Ведомости», по итогам 2024 г. в них было найдено свыше 1800 уязвимостей. С одной стороны, это меньше, чем в 2023 г., когда количество брешей вплотную приблизилось к 2500, с другой – их по-прежнему избыточно много.
Статистику изданию предоставила ИБ-компания AppSec Solutions. Выборка включает 98 приложений, среди которых – навигаторы, антирадары, сервисы заправок и пр., словом, софт, которым пользуются десятки миллионов россиян на ежедневной основе.
Названия участвовавших в исследовании утилит в AppSec Solutions раскрывать не стали. Однако в компании отметили, что все они доступны для скачивания как в российском RuStore, так и в американских Google Play и Apple App Store.
Меньше, но больше
Количество уязвимостей в российских транспортных приложениях действительно сократилось, однако россияне оказались под гораздо более серьезно угрозой, нежели в 2023 г. Дело в том, что «дыр» именно высокого и критического в приложениях стало больше, притом в разы.
Если в 2023 г. их было 141, то в 2024 стало 650. Прирост почти пятикратный, хотя есть вероятность, их и в 2023 г. было не 141, а больше. Представитель AppSec Solutions заявил «Ведомостям», что в исследовании 2024 г. «параметры поиска уязвимостей были скорректированы и уточнены».
Доверяй, не проверяй
В AppSec Solutions сообщили изданию, что в компаниях, разработавших самые «дырявые» приложения для транспорта, вероятно, нет внутренних специалистов по кибербезопасности. Также, по его мнению, эти фирмы «не уделяют внимания проверкам».
Рост числа критических брешей мог стать следствием увеличения общего количества транспортных приложений и сервисов. Руководитель проектов в ИТ-компании EvApps Родион Труфанов сообщил изданию, что разработчики тратят ресурсы не на повышение безопасности своих приложений, а на «докручивание» их интерфейсов для соответствия современным требованиям.
Хакеры тоже не дремлют. Понимая, что транспортные приложения становятся все более востребованными, они все чаще обращают на них внимание. ИБ-специалисты тоже не сидят без дела – находят новые уязвимости. «Больше внимания – больше ищут и больше находят», – сказал изданию Труфанов.
Опасность слишком очевидна
Приложения для транспорта оперируют персональными данными пользователей. Во многих из них требуется авторизация, и лишь малую часть можно полноценно использовать без «деанонимизации».
«Поскольку мы говорим о приложениях, с которыми пользователи делятся своими персональными данными, в том числе данными официальных документов, номерами телефонов, адресами, это может дать злоумышленникам большое поле для деятельности и привести, например, к финансовым потерям», – сказал «Ведомостям» владелец продукта «Стингрей» экосистемы AppSec Solutions Юрий Шабалин.
Однако даже без авторизации такие приложения получают данные о перемещениях пользователей. Руководитель направления по развитию ИБ «Телеком биржи» Александр Блезнеков считает, что приложения могут допустить утечку этих сведений, как и других персональных данных.
Он сообщил изданию, что для пользователей «это самые критичные данные», ведь по ним можно установить основные маршруты людей, а заодно и место проживания. Это весьма ценная информация для мошенников. А если им в руки попадут данные непосредственно о профиле пользователя в приложении, то они смогут ездить за его счет (если к аккаунту привязана карта) и пр.
«Фиксировались и случаи, когда из-за уязвимости в прошивке электросамокатов злоумышленники смогли получить удаленный доступ к устройству, а именно возможность его заблокировать или изменить скорость движения. Это могло привести к физическим повреждениям владельца устройства, но эти случаи не массовые», – сказал изданию Блезнеков.
Вернется сторицей
Блезнеков отметил, что «дыр» в транспортных приложениях так много потому, что разработчики не уделяют должного внимания тестированию и стараются быстрее выпустить новую версию приложения. «Но здесь можно и понять бизнес, который хочет, чтобы новый функционал выходил как можно быстрее», – сказал он.
Но разработчик приложения может очень сильно пожалеть, что не потратил ресурсы на безопасность своего сервиса. Утечка персональных данных – это повод для наступления как административной, так и уголовной ответственности, сообщил изданию руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин.
Короткая ссылка
