К таким выводам пришли в совместном исследовании Роскачество и компания «Солар»
Мобильные приложения онлайн-аптек имеют дефекты, показало исследование Роскачества и компании «Солар». В ходе исследования выделено пять основных типов уязвимостей.
Центр цифровой экспертизы Роскачества совместно с группой компаний «Солар» провели масштабное исследование мобильных приложений популярных сервисов, включая доставку готовой еды, онлайн-аптеки и маркетплейсы. В рамках анализа было рассмотрено около 70 приложений на платформах iOS и Android с рейтингом выше 4 баллов и количеством скачиваний от 500 тысяч, среди которых приложения онлайн-аптек, охватывающие аудиторию свыше 26,5 миллиона пользователей.
Критическая уязвимость выявлена у 93% приложений онлайн-аптек. Этим дефектом оказалась небезопасная собственная реализация SSL, которая позволяет нарушать подлинность сертификатов и устанавливать защищенное соединение без должной проверки. Это дает хакерам возможность организовать MITM-атаку, перехватывать или подменять передаваемые данные, что ведет к компрометации важной информации. Например, если приложение по ошибке принимает любой сертификат или отключает валидацию, злоумышленник в публичной или скомпрометированной Wi-Fi-сети может подменить сертификат и получить токены, пароли и другие данные, а также исказить информацию, нарушая ее целостность.
В ходе исследования выделено пять основных типов уязвимостей:
-
Уязвимости в работе с DNS, позволяющие перенаправлять трафик на поддельные серверы и перехватывать данные.
-
Небезопасная рефлексия, дающая возможность злоумышленникам запускать скрытые методы приложения, обходить проверки доступа и внедрять вредоносный код, что приводит к утечкам и повреждению данных.
-
Небезопасная реализация SSL, описанная выше.
-
Использование слабых алгоритмов хеширования, что облегчает восстановление паролей после компрометации базы данных.
-
Передача данных по незашифрованному протоколу HTTP, что также позволяет осуществлять MITM-атаки и перехватывать сетевой трафик.
Результаты исследования демонстрируют, что безопасность данных пользователей и приложений требует системного подхода и повышенного внимания не только на этапе готового продукта, но и с первых этапов разработки программного обеспечения (ПО). Эксперты рекомендуют разработчикам внедрить цикл безопасной разработки (Secure SDLC) в соответствии с ГОСТ и международными стандартами OWASP. Таким образом комплексный подход позволит защитить миллионы пользователей от MITM-атак и утечек конфиденциальной информации, обеспечивая доверие к цифровым сервисам.
