Эксперты компании AppSec Solutions при помощи своей системы AppSec.Sting провели обширное исследование безопасности 87 наиболее популярных образовательных приложений, доступных в российских и международных магазинах цифрового контента. В выборку вошли платформы для поиска репетиторов, интерактивные языковые самоучители, электронные дневники и цифровые версии учебников. IT Speaker ознакомился с полученными результатами.
В процессе анализа специалисты выявили около 2,5 тысяч недостатков безопасности, причем свыше 40% из них (1065 уязвимостей) относятся к категориям высокого и критического риска. Динамика вызывает беспокойство: по сравнению с предыдущим годом общее количество уязвимостей увеличилось на 41%, а количество опасных дефектов возросло на 56%. Доля критических проблем в общем объеме также возросла – с 39% до 43%.
Руководитель продукта AppSec.Sting Никита Пинаев объяснил такую статистику тем, что многие разработчики недостаточно обращают внимание на безопасность на этапе создания и обновления приложений.
«Образовательные сервисы традиционно пользуются высоким спросом, особенно в период экзаменов, однако регулярные проверки безопасности до сих пор не стали обязательной частью релизного цикла для ряда разработчиков. Увеличение доли критических уязвимостей подтверждает это», – прокомментировал эксперт.
Наиболее распространенной критической уязвимостью является включение конфиденциальной информации непосредственно в программный код. Это касается паролей, токенов доступа, ключей шифрования и параметров тестовых сред. Такая информация может быть использована злоумышленниками для атак как на конечных пользователей, так и на внутреннюю инфраструктуру образовательного сервиса.
Среди уязвимостей высокого уровня выделяется ArbitraryActivityStart – возможность запуска произвольных внутренних экранов приложения. Эта брешь позволяет злоумышленнику напрямую взаимодействовать с скрытыми компонентами программы, например, для изменения настроек, что может привести к утечке персональных данных или потере контроля над учетной записью.
Кроме того, в ряде исследованных приложений было выявлено отсутствие проверки на подключение отладчика. Эксплуатация данной уязвимости позволяет подключать к приложению сторонние инструменты, анализировать его код и в дальнейшем осуществлять полноценный взлом.
Напомним, согласно данным «К2Тех», в 2025 году количество заявок на ремонт и обслуживание корпоративного сетевого оборудования увеличилось более чем вдвое. Это связано с износом западной техники, ростом доли российских решений и усложнением ИТ-ландшафта.
25% россиян покидают компанию из-за неудобных каналов связи
