Согласно исследованию AppSec Solutions, около двух третей банковских приложений имеют уязвимости. В процессе анализа было рассмотрено 95 продуктов в сфере банковского дела, микрокредитования и страхования. Более 30% из них имеют уязвимости высокого и критического уровня.
В ходе анализа приложений было выявлено 1583 уязвимости, из которых более трети (569) относятся к критическим и высоким. Для сравнения, в 2023 году в финансовых приложениях общее количество уязвимостей составило около 4,5 тыс., однако лишь 183 из них были крайне опасными.
«Если у вас есть приложение финансовой организации, вы обязаны как минимум дважды в год проводить пентест (тестирование на проникновение и безопасность) и устранять выявленные проблемы. Тем не менее, мы наблюдаем возникновение новых уязвимостей, что доказывает, что киберзащита является постоянной необходимостью, так как обнаруженные уязвимости, попав в руки злоумышленников с определенной квалификацией, могут привести к несанкционированному доступу к пользовательским данным», – отметил Юрий Шабалин, владелец продукта «Стингрей» компании AppSec Solutions.
Одна из наиболее частых уязвимостей в финтех-приложениях – это хранение секретов для доступа к сторонним сервисам в открытом виде. Эта проблема встречается в исследовании более 60 раз и может теоретически предоставить доступ к сторонним сервисам от имени приложения. Среди распространенных ошибок исследователи выделяют хранение чувствительной информации в приватных файлах, а также наличие найденной чувствительной информации в самом приложении.
Магазины приложений часто становятся мишенью для киберпреступников. Так, хакеры ранее организовали в Google Play мошенническую кампанию под названием Vapor. Они применяли вредоносные приложения для демонстрации рекламы и размещения фишинговых ссылок.
Начиная с марта текущего года мошенники маскировали приложения под легитимные утилиты, фитнес- и lifestyle-приложения. Кроме того, злоумышленники использовали несколько учетных записей разработчиков, чтобы минимизировать потери при блокировке отдельных аккаунтов.
Google заблокировала 2,36 млн приложений в Play Store
